CryptoLocker já se tornou um dos casos ransomware históricos que colocar milhares de usuários através do inferno. O vírus de criptografia infame usuários infectados e criptografado seus arquivos, e exigiu o pagamento em troca de descriptografia dos arquivos. A infecção foi disseminada principalmente por meio de um downloader de Trojan ou de um worm. Se você acredita que foi infectado pelo CryptoLocker, tenha em mente que é mais provável que você tenha sido atingido por um dos imitadores do CryptoLocker ou uma de suas versões posteriores. E nunca se esqueça que pagar o resgate é a pior ideia possível. Você não quer financiar criminosos cibernéticos para continuar seus esforços maliciosos, direito?
Devido ao seu sucesso na alta taxa de infecção, O nome do CryptoLocker foi "explorado" por muitos locatários de ransomware como serviço.
Copiadores do CryptoLocker
CryptoLocker Copycat Número Um: PClock
Os pesquisadores chamaram o "vírus" PClock por causa de um nome de projeto localizado dentro do executável do malware. Voltar em janeiro 2015, a técnica de distribuição do imitador Cryptolocker ainda não foi revelada. Provavelmente, foi distribuído através de outras peças de malware que se infiltram no sistema de forma furtiva - Trojans e backdoors que podem conceder acesso remoto a qualquer momento que desejarem.
Uma vez que o processo de criptografia foi concluído e os arquivos com extensões particulares foram afetados, a vítima seria apresentada com uma tela de resgate e uma contagem regressiva de 72 horas.
Os tipos de arquivos e suas extensões criptografados pelo PClock nós
ré:
3fr, .ACCDB, .para, .ganho dia, .baía, .cdr, .cer, .CR2, .crt, .CRW, .dbf, .dcr, .o, .DNG, .doutor, .docm, .docx, .dwg, .dxf, .dxg, .eps, .erf, .indd, .JPE, .jpg, .kdc,.mdb, .mdf, .mef, .mrw, .nef, .NRW, .odb, .odm, .responder, .ods, .odt, .ORF, .p12, .P7B, .P7C, .PDD, .PFE, .estab, .pfx, .ppt, .pptm, .PPTX, .psd, .PST, .ptx, .r3d,.raf, .cru, .rtf, .RW2, .RWL, .SRF, .SRW, .WB2, .wpd, .wps, .XLK, .xls, .xlsb, .xlsm, .xlsx
Aprender mais sobre PClock Ransomware
CryptoLocker Copycat Número Dois: Ransomware CryptoDefense
Semelhante ao CryptoLocker, CryptoDefense foi distribuído principalmente por meio de campanhas de e-mail de spam. Ele fingiu usar o algoritmo de criptografia RSA-2048, alegando que uma vez criptografado, os arquivos do usuário não seriam mais acessíveis. Contudo, essa afirmação mais tarde se revelou falsa.
A principal diferença entre as duas partes do ransomware é que o CryptoLocker gerou as chaves de criptografia e descriptografia RSA no comando & Servidor de controle. A CryptoDefense empregou o aplicativo Windows CryptoAPI. Windows CryptoAPI, Contudo, é ‘equipado’ com várias aberrações que, obviamente, não eram conhecidos pelos criadores do CryptoDefense - ele cria cópias locais das chaves RSA no computador da vítima. Conseqüentemente, a chave para descriptografar os arquivos criptografados estava no sistema afetado.
CryptoLocker Copycat Número Três: TorrentLocker
Os criadores desta família de ransomware foram vistos personificando o CryptoLocker e aplicando seu nome na mensagem de resgate e no site de pagamento.
TorrentLocker também é conhecido como Win32 / Filecoder.DI. Seu nome vem de uma postagem no blog da iSIGHT Partners publicada no verão de 2014.
Tipicamente, TorrentLocker criptografou os arquivos da vítima via algoritmo de criptografia AES-256 e solicitou um pagamento em Bitcoin. O pagamento médio foi de até 4,081 Bitcoins (aproximadamente US $ 1500), conforme relatado por pesquisadores da ESET.
No 2014, os codificadores maliciosos por trás do TorrentLocker geraram sobre $300,000 em pagamentos de resgate. Os pesquisadores suspeitaram que TorrentLocker era da mesma família que o malware bancário Hesperbot. Os países-alvo incluem Austrália, Áustria, Canadá, República Checa, Itália, Irlanda, França, Alemanha, Países Baixos, Nova Zelândia, Espanha, Peru, Reino Unido.
Aprender mais sobre TorrentLocker
CryptoLocker Copycat Número Quatro: Crypt0l0cker
Ataques Crypt0L0cker foram registrados na primavera de 2015. Foi quando os analistas de segurança revelaram que o Crypt0L0cker é na verdade uma nova versão do conhecido TorrentLocker. Contudo, Crypt0 parecia estar bloqueado geograficamente e como tal, não atacaria máquinas baseadas nos EUA. Tal como acontece com muitos outros casos de ransomware, Crypt0 foi distribuído principalmente em campanhas de e-mail de spam, fingindo ser avisos do governo.
Os métodos de comunicação usados pelo Crypt0 eram bastante semelhantes aos do TorrentLocker. Quando instalado no sistema da vítima, Crypt0L0cker se conectaria a um comando & Controle o servidor e transmita o identificador único da vítima e um ID de campanha.
O Crypt0L0cker então escaneia todas as letras do disco rígido e criptografa certos arquivos, enquanto outros são excluídos. Os arquivos criptografados teriam uma extensão ".encrypted" no final.
Aprender mais sobre Arquivos ‘. Criptografados’
Família CryptoLocker Ransomware: versões
Além de seus imitadores, Os operadores do CryptoLocker lançaram diferentes versões do ransomware.
Cryptolocker.AB
O Cryptolocker.AB é um cavalo de Tróia Ransomware da família Cryptolocker que esteve ativo recentemente 2015. Ele procurou por arquivos com muitas extensões diferentes, criptografou-os com uma extensão “.crinf”, em seguida, pediu um grande resgate pela descriptografia. Ele pode excluir cópias de volume de sombra, desabilitar o reparo de inicialização do Windows, e encerrar processos importantes do sistema.
Existem várias maneiras de você ser infectado por Trojans, como o ransomware Cryptolocker.AB. O método de distribuição mais comum era conhecido por ser por meio de anexos de e-mail maliciosos e e-mails de spam, da mesma forma que muitas peças de ransomware por aí. Lembre-se de que existem casos, onde o próprio e-mail também contém código malicioso e ao abrir o e-mail, seu PC fica infectado imediatamente, mesmo sem executar o anexo dentro.
Aprender mais sobre CryptoLocker.AB
CryptoLocker 2.0
CryptoLocker 2.0 apareceu como a segunda versão do CryptoLocker. Apesar de seu nome representar o ransomware como a segunda versão do CryptoLocker, as diferenças no código (quando comparado com a peça original) indicou que era um imitador. Algumas das diferenças que mostram que se tratava de um pretendente, e não de uma versão real, são a linguagem em que a ameaça foi programada (original em C ++, versão 2 em C #) e o mineiro de carteira de criptomoeda chamado BFGMiner (encontrado no segundo “liberação”). Além disso, o emprego de uma criptografia diferente era outro indicador de um imitador.
CryptoLocker V3
Esta versão foi vista ativa no início 2016.
O ransomware criou diferentes módulos que serviram a vários propósitos. Ele também pode interferir no Editor de registro do Windows para executar seus módulos toda vez que o Windows for iniciado. Versão 3 de Cryptolocker pode ser identificado pela extensão de arquivo .crypted nos arquivos do usuário afetado.
Os cibercriminosos mascararam a carga maliciosa ofuscando seus arquivos por meio de um software especial ou arquivando-os em um arquivo .zip, .rar ou outros formatos arquivados para que não sejam bloqueados pelo site de e-mail.
Os usuários devem ter muito cuidado e sempre realizar uma verificação dos arquivos que baixam. Também é recomendável verificar os links da web que são compartilhados em algum grau, porque verificar qualquer link que você abrir seria frustrante. É por isso que é bom ter uma extensão de navegador que bloqueie a abertura de links maliciosos.
Aprender mais sobre Cryptolocker V3
Dicas de segurança contra ransomware
Gorjeta #1: Se você perceber que um ransomware está criptografando seus arquivos, desligue o seu PC o mais rápido possível com o botão liga / desliga.
Gorjeta #2: Não se esqueça de fazer BACKUP! Faça backups regulares de seus arquivos importantes! É o melhor método de prevenção.
Dica # 3: NÃO formate! Caso você tenha seus arquivos descriptografados, formatar suas unidades não é uma boa ideia. Existem casos em que as ferramentas de recuperação de dados podem recuperar alguns dos arquivos. E há especialistas que lidam com recuperação de dados que poderiam extrair arquivos apagados.
Para obter mais dicas e informações úteis sobre ransomware, visite nosso tópico de fórum especializado!
Se você ainda não fez backup de seus dados, conheça alguns dos melhores softwares de backup de dados:
Você também deve considerar a instalação de um específico solução anti-ransomware. Além disso, não subestime a importância do programa anti-malware obrigatório!
digitalizador Spy Hunter só irá detectar a ameaça. Se você quiser a ameaça de ser removido automaticamente, você precisa comprar a versão completa da ferramenta anti-malware.Saiba Mais Sobre SpyHunter Anti-Malware Ferramenta / Como desinstalar o SpyHunter
Milena Dimitrova
Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim
Me siga: