ransomware: tenham medo. tenham muito medo

a primeira vez que ouvi falar em “ransomware” foi no início de 2015 quando li um artigo no site da bleepingcomputer. confesso que não liguei muito, pensei que fosse só mais uma ameaça entre muitas. há uns dias, um amigo telefonou-me a pedir-me para tentar ajudar uma amiga dele cujo computador – e usando as palavras dele – tinha sido “sequestrado” e que se não pagasse um resgate perderia todos os ficheiros. não percebi muito bem o que se passava, até que me lembrei do artigo que tinha lido.

após uma análise ao computador infetado, percebi que se tratava do ransomware “teslacrypt” (versão de 12.05.2015).

o que é o teslacrypt?

é um programa malicioso de ransomware, (ransom significa resgate em inglês) para todas as versões do sistema operativo windows que encripta todos os documentos (office, pdf, imagens, vídeos, músicas, savegames, etc) no computador da vítima, incluindo ficheiros na cloud, em nas, na dropbox, no google drive, etc e todos os discos externos ou pens, se ligados e mesmo partilhas de rede, substituindo os ficheiros existentes que correspondam a qualquer uma das extensões listadas abaixo por versões encriptadas com o mesmo nome mas com a extensão .exx. o ransomware é a última moda do cybercrime.

o novo teslacrypt é uma evolução do cryptolocker. esta versão, dos mesmos autores, é mais robusta e com mais funcionalidades, para além dos ficheiros normais, foi afinada para atacar também os “gamers” afectando também savegames, mods ou profiles.

após a infeção e substituição dos ficheiros, uma janela é mostrada com as instruções de como recuperar os ficheiros. ou seja, é preciso pagar o “resgate” em menos de 96 horas para recuperar os ficheiros. o valor exigido varia entre 2 e 4 bitcoins (de 420 a 840€) e o pagamento é feito online utilizando vários servidores proxy ou a rede anónima tor, na moeda virtual bitcoin. esta combinação torna a identificação dos criminosos quase impossível. Mas mesmo pagando existem alguns contratempos. segundo o que li nos fóruns da especialidade e mesmo em comentários num dos sites dos criminosos, a maior parte das pessoas que pagaram ficaram sem os ficheiros e sem o dinheiro, outras pagaram e metade dos ficheiros que pretendiam recuperar simplesmente desapareceram ou a “desencriptação” não funciona.

decryptexemesmo a coisa correndo bem e o pagamento funcione e os gatunos nos enviem a chave e a aplicação, é sempre um filme…  se tivermos perdido 10.000 fotografias, só vamos conseguir recuperar cerca de 6.000 e temos que usar a aplicação dos tipos. resultado: das 6.000 fotografias, apenas uma pequena parte vai ser recuperada… o resto transforma-se em lixo (ficheiros corruptos ilegíveis).

resumindo, pagar aos tipos não resolve nada, muito pelo contrário.

quase toda a gente que trabalha diariamente com computadores já experimentou o pânico de, num instante, ficar sem ficheiros insubstituíveis: fotografias, vídeos, documentos de trabalho ou académicos, etc. a maior parte das pessoas estaria disposta a pagar para ter esses ficheiros de volta e os criminosos sabem disso. A mim já me aconteceu…

agora imagine se isto acontece em computadores duma empresa.

tesla1

esta infeção, para além de eliminar os ficheiros originais, elimina também todas as “shadow volume copies”, ou seja, as últimas versões dos ficheiros que o windows automaticamente guarda para garantir um eventual “restauro do sistema” e que, teoricamente, possibilitavam a recuperação dos ficheiros ou um “rollback” para uma data anterior à infeção.

ao mesmo tempo que encripta e elimina os ficheiros originais, cria um ficheiro .txt em cada pasta com o nome HELP_TO_DECRYPT_YOUR_FILES.txt contendo o seguinte texto:

 All your documents, photos, databases and other important files have been encrypted
 with strongest encryption RSA-2048 key, generated for this computer.
 Private decryption key is stored on a secret Internet server and nobody can
 decrypt your files until you pay and obtain the private key.
 If you see the main encryptor red window, examine it and follow the instructions.
 Otherwise, it seems that you or your antivirus deleted the encryptor program.
 Now you have the last chance to decrypt your files.
 Open in your browser one of the links:
 http://xxxxxxxxxxxxxxxxxxxxxxxxxxxx.com
 http://xxxxxxxxxxxxxxxxxxxxxxxxxxxx.com
 https://xxxxxxxxxx.tor2web.blutmagie.de
 They are public gates to the secret server.
 Copy and paste the following Bitcoin address in the input form on server. Avoid missprints.
 xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
 Follow the instructions on the server.
 If you have problems with gates, use direct connection:
 1. Download Tor Browser from http://torproject.org
 2. In the Tor Browser open the http://xxxxxxxxxxxx.onion/
 Note that this server is available via Tor Browser only.
 Retry in 1 hour if site is not reachable.
 Copy and paste the following Bitcoin address in the input form on server. Avoid missprints.
 xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
 Follow the instructions on the server.

os tipos de ficheiro afectados pelo teslacrypt são:

.sql - .mp4 - .rar - .m4a - .wma - .avi - .wmv - .csv - .d3dbsp - .zip - .sie - .sum - .ibank - .t13 - .t12 - .qdf - .gdb - .tax - .pkpass - .bc6 - .bc7 - .bkp - .qic - .bkf - .sidn - .sidd - .mddata - .itl - .itdb - .icxs - .hvpl - .hplg - .hkdb - .mdbackup - .syncdb - .gho - .cas - .svg - .map - .wmo - .itm - .fos - .mov - .vdf - .ztmp - .sis - .sid - .ncf - .menu - .layout - .dmp - .blob - .esm - .vcf - .vtf - .dazip - .fpk - .mlx - .iwd - .vpk - .tor - .psk - .rim - .w3x - .fsh - .ntl - .arch00 - .lvl - .snx - .cfr - .vpp_pc - .lrf - .mcmeta - .vfs0 - .mpqge - .kdb - .db0 - .dba - .rofl - .hkx - .bar - .upk - .das - .iwi - .litemod - .asset - .forge - .ltx - .bsa - .apk - .re4 - .sav - .lbf - .slm - .bik - .epk - .rgss3a - .pak - .big - wallet - .wotreplay - .xxx - .desc - .m3u - .flv - .css - .png - .jpeg - .txt - .p7c - .p7b - .p12 - .pfx - .pem - .crt - .cer - .der - .x3f - .srw - .pef - .ptx - .r3d - .rw2 - .rwl - .raw - .raf - .orf - .nrw - .mrwref - .mef - .erf -.kdc - .dcr - .cr2 - .crw - .bay - .sr2 - .srf - .arw - .3fr - .dng - .jpe - .jpg - .cdr - .indd - .eps - .pdf - .pdd - .psd - .dbf - .mdf - .wb2 - .rtf - .wpd - .dxg - .dwg - .pst - .accdb - .mdb - .pptm - .pptx - .ppt - .xlk - .xlsb - .xlsm -.xlsx - .xls - .wps - .docm - .docx - .doc - .odb - .odc - .odm - .odp - .ods - .odt

como se vê, quase todos os ficheiros que usamos quer a nível particular, quer profissional se encontram nesta lista.

o meu computador foi infectado, e agora?

o meu conselho é, naturalmente, que não pague. Pois pagando está a “promover” este negócio criminoso e super-lucrativo. Além disso, dificilmente resolverá o seu problema.

antes de pensar em pagar, pense nisto: “vou confiar nos tipos que me lixaram para me entregarem os meus ficheiros em perfeito estado?”… eu não confio.

deverá sim desligar o computador imediatamente e entregá-lo a alguém que saiba o que está a fazer e, mais importante ainda, que saiba o que fazer nestes casos. se isso não for possível, deixo aqui umas dicas:

  • a primeira coisa a fazer em casos de infeções graves é uma imagem ou “clone” do(s) disco(s). Isto vai permitir trabalhar no disco à vontade sem receio de “estragar” alguma coisa – a qualquer altura o estado inicial pode ser reposto.
  • descarregar a aplicação malwarebytes anti-malware Free e abrir “mbam-setup” para iniciar a instalação.
  • antes do final da instalação desmarque a caixa (veja imagem a seguir).antimalware-1
  • depois da instalação, clique no botão “scan now” e aguarde.
  • no final clique em “remove selected”.
  • responda que sim para reiniciar o computador.

nesta altura, o seu computador deverá estar “limpo” do vírus. o problema é que está também cheio de  ficheiros que encriptados não passam de lixo e continua sem os seus preciosos ficheiros.

atenção: vi em vários sites ditos da “especialidade” conselhos para utilizar uma aplicação chamada “spyhunter” na remoção de ransomware. ora, essa aplicação é um (velho) conhecido rogueware que, além de plantar mais lixo e vírus no seu computador, não remove absolutamente ameaça nenhuma e ainda vai exigir mais pagamentos…

é possível desencriptar e recuperar os ficheiros?

à primeira vista, parecia-me que não.

mas depois de ler quase toda a informação existente nos sites/fóruns da especialidade, cheguei à conclusão de que, ao contrário do que é dito na janela com as instruções para pagamento, a encriptação dos ficheiros não utiliza um algoritmo assimétrico mas sim um algoritmo de chave simétrica. o vírus tem um bug 🙂

tesla2

ora, isto torna, teoricamente, usando técnicas de engenharia inversa e graças a investigadores da cisco, o processo reversível. a chave “mestra” da encriptação é gerada com base em variáveis de ambiente da máquina infetada e gravada (de certa forma) num ficheiro “key.dat” (já agora, o decifrador feito pelos investigadores da cisco não funcionou).

contudo, uma vez que os tipos que fizeram o “vírus” tiveram mais cuidado em proteger o próprio vírus do que os ficheiros dos computadores infectados. a julgar pelos testes que fiz, cerca de 40% dos ficheiros são apenas eliminados e não são substituídos pela sua versão encriptada. na prática, esses ficheiros não têm recuperação possível porque simplesmente já não existem.

existe sempre a hipótese de utilizar software de recuperação de dados para “deseliminar” esses ficheiros mas é uma operação que depende de muitas coisas e que nem sempre corre da melhor forma.

com alguma paciência, jeito e muita sorte foi possível reverter os ficheiros encriptados para os originais.

no meu “caso de estudo”, passei 3 dias à volta disto e consegui recuperar quase todos os ficheiros importantes que foram substituídos pelos .exx.

desta vez correu bem mas foi, sobretudo SORTE. entretanto os criminosos já corrigiram a “falha” do seu vírus tornando a recuperação de ficheiros [sem efetuar o pagamento] teoricamente impossível. a nova versão já anda por aí a fazer estragos… e quase todos os dias aparecem mais.

como é que o meu computador foi infectado?

o teslacrypt pode ser distribuído de várias formas:

  • websites maliciosos ou mesmo websites legítimos que tenham sido vítimas de hackers, usando a uma técnica que explora a angler exploit;
  • através de uma mensagem de email falsa que faz a vítima acreditar de que se trata de um email legítimo e leva a pessoa a abrir e executar um anexo.
  • através de um download (e execução) duma aplicação de um website malicioso (normalmente websites de pornografia ou software pirata).

como prevenir isto?

  • não abrir anexos de email suspeitos.
  • não clicar em links de emails suspeitos.
  • um antivírus decente. E quando digo “decente” não quero dizer pago. por exemplo: bitdefender antivirus free edition (2014).
  • backups regulares (eu sei…). não me refiro a backups automáticos mas sim aos bons velhos backups manuais. backups automáticos requerem, normalmente, que o disco de backup esteja permanentemente “ligado” ao pc em causa (estando também sujeito ao efeito do ransomware) e podem simplesmente fazer um backup dos ficheiros encriptados comprometendo os backups originais e eventualmente chegar a um ponto em que já não existem backups que possam ser utilizados para recuperar os dados. para a utilização de backups automáticos tem que haver uma configuração cuidada que mantenha várias cópias e que acautele múltiplas rotações de ficheiros (só aplicações empresariais é que costumam ter isto tudo).
  • mudar para linux ou osx 😛

 

o que me assusta neste tipo de infeção não é a encriptação, nem sequer é o resgate e muito menos a dificuldade em desencriptar os ficheiros (backups são obrigatórios). o que me assusta é a facilidade com que alguém consegue não só colocar um programa no computador da vítima como também manipular os dados e forçar a vítima a pagar-lhe para recuperar o que é seu. sou contra a violência mas os tipos que fazem isto deviam falecer.

Deixe uma resposta

O seu endereço de email não será publicado. Campos obrigatórios marcados com *