TIPOS DE RANSOMWARE - PARTE II

“Em 2016 tivemos o ataque chamado Jigsaw, que vinha com a imagem do fantoche da franquia do filme Jogos Mortais”

Em 2017 o Bad Rabbit foi um ataque de ransomware que se deu por meio dos chamados ataques de execução, que se aproveitou de sites inseguros, nos quais o usuário visita estes sites sem saber que estão comprometidos por hackers, e se torna apenas necessário que o usuário abra um destes sites para a infecção.

Esta é a característica dos ataques de execução, mas neste do Bad Rabbit a execução de um instalador vinha com um malware disfarçado para realizar a infecção, que é denominado dropper de malware. O Bad Rabbit, então, solicitava a instalação falsa do Adobe Flash, e com isso infectava o computador do usuário que obedecia a esta solicitação.

Em 2018 tivemos o caso de um Cavalo de Troia de criptografia de nome Ryuk, e que realizou um ataque que desabilitou a função de recuperação dos sistemas operacionais Windows, e quem não tivesse um backup externo ficou impossibilitado de restaurar os dados criptografados, e este Ryuk também atingiu os discos rígidos de rede, que foram criptografados. Em 2015 o ataque do ransomware chamado Shade ou Troldesh se disseminou por e-mails de spam que possuíam links ou anexos de arquivos infectados.

Em 2016 tivemos o ataque chamado Jigsaw, que vinha com a imagem do fantoche da franquia do filme Jogos Mortais, e este Jigsaw fazia com que a cada hora adicional sem o pagamento do resgate de dados, estes fossem sendo apagados cada vez mais, e ainda tinha o efeito psicológico da imagem relacionada ao filme.

O caso do CryptoLocker, por sua vez, surgiu em 2007, se disseminando por anexos de e-mails infectados, e a contaminação de um computador criptografava seus dados, a conta feita foi que este ransomware infectou cerca de 500.000 computadores.

O controle de computadores domésticos hackeados foi obtido por autoridades legais e empresas de segurança, e foi feita a interceptação de dados enviados pela rede sem que os criminosos soubessem, e foi criado um portal online em que as vítimas do ransomware podiam obter uma chave de desbloqueio de dados, ou seja, sem a necessidade de pagamento de resgate aos criminosos.

O GandCrab, por sua vez, atacou via ameaça de revelar os hábitos pornográficos de suas vítimas, pois o ransomware afirmava ter hackeado a webcam da vítima exigindo resgate, a ameaça era de publicar as imagens constrangedoras da vítima caso o resgate não fosse pago. Com iniciativa do No More Ransom, provedores de segurança e autoridades policiais conseguiram desenvolver uma ferramenta de descriptografia para que as vítimas recuperassem os dados privados roubados pelo GandCrab.

B0r0nt0k, por sua vez, atacou o Windows e o Linux. No caso do Linux, este ransomware criptografa seus arquivos e anexa a extensão de arquivo “.rontok”. Este ransomware tanto ameaça os arquivos como também altera configurações de inicialização, desabilita funções e aplicativos, e ainda adiciona arquivos, programas e entradas de Registro.

Em 2016, por sua vez, foi detectado o ransomware chamado Apocalypse, este criptografava arquivos, mudando suas extensões para .encrypted, .FuckYourData, .locked, .Encryptedfile, ou .SecureCrypted. O Apocalypse também criava novos arquivos de texto que vinham com as informações dos meios de resgate dos dados.

O Badblock surgiu em 2016 e renomeava os arquivos criptografados, e criava um arquivo novo em formato html para passar as instruções de resgate de dados. Em 2016, também, surgiu o Bart, este ransomware adicionava aos computadores infectados a extensão bart.zip, e solicitava senha para desbloqueio, e o papel de parede da vítima era substituído por um outro com as instruções para o resgate de dados.

O Cript888, por sua vez, que era também conhecido como Mircop, também surgiu em 2016 e adicionava o nome Lock. no início dos arquivos criptografados, e o papel de parede da vítima é substituído por um novo com várias imagens com as instruções de resgate de dados. O Legion, por sua vez, adicionava os termos ._23-06-2016-20-27-23_$f_tactics@aol.com$.legion ou .$centurion_legion@aol.com$.cbf no fim dos arquivos infectados, também mudando o papel de parede da vítima e adicionando um pop-up que informava que os dados estavam criptografados.

O SZF Locker surgiu em 2016 e adicionava a extensão .szf no final dos arquivos infectados, e quando a vítima tentava abrir um destes arquivos aparecia uma mensagem em polonês com instruções para o resgate dos dados. O Teslacript, por sua vez, é um ransomware de um formato mais antigo, surgiu em 2015, não renomeava os arquivos, apenas exibia uma mensagem com instruções de resgate de dados.

Dos novos ransomwares, temos o Brrr, um ransomware Dharma, que é instalado manualmente e invade desktops conectados à internet, e quando é ativado pelo hacker passa a criptografar os arquivos, e estes recebem a extensão ".id-[id].[email].brrr". Por sua vez, o FAIR RANSOMWARE criptografa dados, com um algoritmo forte, e os arquivos recebem a extensão ".FAIR RANSOMWARE".

E temos o MADO que criptografa dados e adiciona a extensão “.mado", o que impossibilita que tais arquivos sejam abertos. O ransomware WordPress, por sua vez, tem como mira os arquivos do site WordPress, dando prioridade aos mais populares, exigindo pagamento para o resgate de dados.

(continua)

Gustavo Bastos, filósofo e escritor.

Link da Século Diário : https://www.seculodiario.com.br/colunas/tipos-de-ransomware-parte-ii