Cuidado com o virus CryptoLocker

[hawkinf]

Um virus de computador perigoso: CryploLocker

 

Surgiu recentemente uma nova modalidade de "virus" de computador: Aquele que além de deixar seu computador mais lento, instável, travando, agora ele "sequestra" seus arquivos pessoais, criptografa-os e exige de vc um resgate. Essa nova modalidade de malware, já tem um nome: RAMSOMWARE.

Atualmente o ransomware da moda, atende pelo nome de CryptoLocker. Ele fez suas primeiras aparições em meados Setembro de 2013, e desde então vem se espalhando de forma assustadora mundo afora.

A forma de contaminação do Cryptolocker, especula-se ser, através da abertura de anexos de emails de empresas conhecidas. Você abre um anexo, que tem uma extensão .pdf.exe ou .zip.exe (Extensão dupla), achando que se trata de um arquivo texto ou compactado, porém a extensão final dele, que é EXE, é executada em seu computador e o hospedeiro se instala.

O CryptoLocker não age imediatamente, ele fica "incubado" sendo executado silenciosamente, criptografando seus arquivos e se comunicando com o servidor do malware.

Uma hora, ele decide entrar em cena, e vc é agraciado com uma tela bacana, igual a mostrada abaixo. Inicialmente o pedido de resgate é de US$ 300, e conforme vc nao vai pagando o valor vai aumentando. Uma serie de ameaças são feitas, se vc tentar me desinstalar, nunca mais vai recuperar seus arquivos, etc.

Infelizmente quando a tela apareceu, já é tarde demais. Uma boa parte de seus arquivos já foi criptografada, e vc so tem 2 alternativas. Voltar um backup ou pagar a conta para os estelionatários.

Vitimas relatam que pagaram, e as chaves para descriptografar foram chegando em 3 a 4 horas. Eu não acho uma boa idéia contribuir com esses safados.

Até o presente momento não se sabe de meio possível para reaver os arquivos criptografados. Logo é bom ter cuidado!

A remoção do CryptoLocker tem uma dificuldade mediana, programas como malwarebytes anti-malware (Anti malware gratuito para teste), promete fazer o serviço.

 

Minha experiência:

 

Eu tive contato com esse virus hoje, através da máquina de um cliente, e fiquei impressionado com a sofisticação do mesmo. Ele se camufla, comunica com servidores randomicos, para que seja de dificil localização, bloqueia-se contra a remoção, etc.

 

Como removi o malware:

 

Ferramentas utilizadas: sysinternals autoruns (Fiz a remoção na unha de praticamente tudo), e fiz a confirmação da remoção utilizando o Malwarebytes AntiMalware 2.0 RC, A remoção do CryptoLocker só foi possível através de boot pelo modo de segurança do Windows, onde não são carregados nenhum arquivos e ele tende a bootar meio que "seco". Como a maquina do cliente nao tinha arquivos DOCs, JPGs, XLS, etc a criptografia se deu em arquivos que o cliente não utilizava.

 

E o dinheiro arrecadado pelos estelionatários. não é facil rastrear?

 

Infelizmente não. Eles só aceitam as moedas virtuais Bitcoin e MoneyPak, que são fundos de trocas descentralizados, se tornando muito dificil rastrea-los.

 

Se você pagar, vai conseguir os arquivos de volta?

 

As vitimas relatam que sim, mas claro que não tem garantia né. Vai reclamar com quem? Eu acho que de forma alguma se deve incentivar os criminosos. Além do mais outras ondas de ransomware virão, incentivadas pela "boa" experiência dos criminosos do CryptoLocker.

 

A ameaça só atinge usuarios de Windows. Especula-se que os criminosos já tenham arrecadado mais de US$ 30 milhoes de dolares.

 

Fica aqui, o meu aviso, TIREM BACKUP e tomem muito cuidado com esse virus, na menor suspeita, passem um antivurs/anti-malware ou levem para um especialista (ESPECIALISTA, não vizinho curioso, hehehehe).

 

Texto: AGUINALDO LIESACK BAPTISTINI - Engenheiro Eletronico com especialização em computadores, formado pela FEI, trabalha ha mais de 20 anos na área de TI e segurança digital.

 

[Edgard Julien]

Dica top, passei por isso na empresa estou com 4 gigas de planilhas cryptografadas e não consigo resolver rsrs, pior que criptografou dentro do servidor agora como n sei, porem apenas um mapeamento o resto do servidor ficou limpo !