Bitcoin Ransomware agora se espalha por meio de campanhas de spam

As empresas de segurança McAfee Labs e Symantec emitiram alertas de que um tipo de ransomware que exige bitcoins, o CTB-Locker, está sendo propagado por meio de campanhas de spam.

O malware, cujo nome significa 'Curve Tor Bitcoin Locker', foi identificado pela primeira vez no ano passado. No entanto, a abordagem de distribuição de spam parece ser um desenvolvimento relativamente novo.

A McAfee publicou seuúltimo avisona semana passada, descrevendo o CTB-Locker como uma forma de ransomware que criptografa arquivos no computador alvo. Evidências anedóticas sugerem que arquivos de imagem .jpg são um alvo frequente. A vítima então tem que pagar um resgate para que os arquivos sejam descriptografados.

A Symantec disse em um blog recente

que o processo de lidar com malware Cripto é “particularmente desagradável de lidar”.

Como funciona

Após a instalação, o CTB-Locker injeta código malicioso no arquivo 'svchost.exe', criando uma tarefa agendada para mover e criptografar arquivos.

O malware criptografa os arquivos comprometidos usando criptografia de curva elíptica, que parece ser equivalente à criptografia RSA com uma chave de 3.072 BIT .

Quando a criptografia é concluída, o usuário é informado do ataque por meio de uma mensagem pop-up de resgate.

A mensagem exibe uma contagem regressiva de 96 horas. Se o usuário não pagar o resgate do Bitcoin dentro de 96 horas, a chave de descriptografia será destruída e os arquivos permanecerão criptografados permanentemente.

O pop-up permite que o usuário veja a lista de arquivos criptografados, juntamente com informações sobre como fazer um pagamento e obter o código de descriptografia.

Vetores de detecção, infecção e propagação

McAfee detecta CTB-Locker sob três nomes diferentes: BackDoor-FCKQ, Downloader-FAMV e Injector-FMZ. Symantec identifica o payload final como Trojan.Cryptolocker.E.

O malware está sendo propagado por meio de campanhas de spam, como um arquivo .zip armazenado dentro de outro arquivo .zip. O arquivo compactado contém o downloader para CTB-Locker.

Até agora, os pesquisadores descobriram os seguintes nomes usados para armazenar o downloader:

• malformado.zip
• plenitude.zip
• inquirir.zip
• simoniac.zip
• faltboat.zip
• incuravelmente.zip
• cargas úteis.zip
• dessiatina.zip

Além das práticas de segurança padrão (por exemplo: não abrir arquivos .zip de fontes não confiáveis), a McAfee publicou uma série de recomendações para mitigar a ameaça usando produtos McAfee.

O blog da Symantec também oferece informações úteis sobre o CTB-Locker para usuários de produtos de segurança da Symantec.

Caso as vítimas não queiram ou não possam pagar o resgate, não há praticamente nenhuma maneira de recuperar os arquivos criptografados. A melhor maneira de reduzir o impacto de um potencial ataque de ransomware Cripto é fazer backup de arquivos valiosos regularmente.

CTB-Armário pop-upimagem via Symantec;Imagem de spamvia Shutterstock.