“Nós sequestramos sua webcam e pegamos você assistindo pornografia. E criptografou seus dados. E agora queremos resgate. ” Você deve se lembrar que um esquema de chantagem semelhante teve um sucesso fenomenal no ano passado. Bem, parece que os rumores de que o ransomware por trás desse golpe de extorsão está morrendo são um pouco exagerados.
O ransomware GandCrab está de volta e ativo como sempre. Seus desenvolvedores estão constantemente lançando novas versões para não perder a parte conquistada com dificuldade que detém atualmente - cerca de 40% de todo o mercado de ransomware. Os invasores que alugam e propagam o GandCrab também estão se mantendo atualizados, optando por táticas diversificadas, criativas e às vezes até românticas para infectar as vítimas.
Ransomware sentimental
Linhas de assunto com declarações de amor podem parecer atraentes, mas “Minha carta de amor para você”, “Me apaixonei por você” e “Escrevi meus pensamentos sobre você” na verdade anunciam um possível desastre. E perto do Dia dos Namorados, Natal, Ano Novo ou seu aniversário, ou mesmo apenas em uma segunda-feira sombria no trabalho, essa mensagem pode nem soar o alarme. Como todo e-mail, entretanto, esse tipo merece uma consideração cuidadosa.
[Mergulhe fundo no mundo da tecnologia e cadastre-se no Avance Network a verdadeira comunidade criptografada]
A variante mais comum de um e-mail malicioso circulando nos dias de hoje tem uma frase romântica na linha de assunto, um símbolo de coração no corpo e um anexo - um arquivo ZIP normalmente chamado Love_You seguido por vários dígitos. Se você extrair e executar o arquivo JavaScript que está dentro, ele fará o download do ransomware GandCrab.
Em seguida, você será direcionado a uma nota explicando que todos os dados em seu computador foram criptografados e você pode pagar o resgate (provavelmente em bitcoins) para recuperá-los. Se você não sabe como lidar com criptomoedas, a gangue que orquestrou o ataque gentilmente oferece uma janela de chat ao vivo para ensiná-lo a comprar a quantia necessária e pagar o resgate.
Ransomware para negócios
Em 2017, foi lançado um patch que corrigiu uma vulnerabilidade em uma ferramenta usada para sincronizar dados entre dois sistemas de gerenciamento para empresas de TI. Mas nem todos instalaram esse patch. Em 2019, o GandCrab visa aqueles que não o fizeram, criptografando todos os computadores que eles podem alcançar.
A falha de segurança permite que os malfeitores criem novas contas de administrador e, a partir daí, enviem comandos para instalar o ransomware nos terminais que estão sendo gerenciados. Em outras palavras, eles criptografam as máquinas dos clientes da empresa atacada e exigem uma recompensa (sempre em criptomoeda).
Ransomware para alarmistas responsáveis (todos)
Quantos de nós abriríamos um anexo de e-mail se dissesse que é um mapa de saída de emergência atualizado para o prédio onde você trabalha? Mesmo que tenha vindo de um endereço completamente desconhecido? Muito provavelmente, todos nós. No final, poucos se lembram dos nomes dos gerentes de segurança.
Os invasores começaram a explorar essa oportunidade , enviando e-mails maliciosos com um arquivo Word anexado. Quem abre o documento vê apenas o título - “Mapa de saída de emergência” - e o botão Habilitar Conteúdo . Se clicar no botão, você instalará o ransomware GandCrab.
Ransomware para pagadores
Outra tática usa um e-mail que parece uma fatura ou uma confirmação de pagamento que está disponível para download no WeTransfer. O link leva a um ZIP ou, às vezes, a um arquivo RAR, com uma senha para abri-lo. Adivinhe o que está dentro do arquivo.
Ransomware para italianos
Outra variante pode usar um “aviso de pagamento” - na forma de um anexo de arquivo do Excel. Tente abri-lo e uma caixa de diálogo de arquivo dirá que você não pode visualizá-lo online e sugere que você clique em Habilitar edição e Habilitar conteúdo para ver o conteúdo.
Curiosamente, este ataque específico visa exclusivamente os italianos (pelo menos, no momento). Ao clicar nos botões necessários, você ativa um script que verifica se o seu computador está localizado na Itália, contando com o idioma administrativo do sistema operacional.
Se não, nada de especial acontece. Mas se você parece estar na Itália, pode experimentar o senso de humor do atacante, na forma de uma imagem de Mario. Você sabe, aquele de Super Mario Bros.
A imagem, baixada quando você clica para visualizar o conteúdo do arquivo, contém código malicioso do PowerShell e começa a baixar malware. No momento, os pesquisadores discordam sobre qual malware exatamente: GandCrab , que criptografa seus dados, ou Ursnif , que rouba as credenciais de suas contas bancárias e online. Falando francamente, isso faz pouca diferença; o método de entrega é o ponto aqui, embora também evoluam constantemente.
Diga não ao crabster ganancioso
O GandCrab é distribuído por muitas pessoas diferentes - é um ransomware-as-a-service, desenvolvido por uma equipe de malfeitores e alugado para outros criminosos, que tentam criptografar o máximo de alvos possível. Mas, apesar das diferenças nos métodos de entrega, apenas algumas práticas recomendadas podem protegê-lo das garras gananciosas do GandCrab. Aqui estão eles:
Ao receber um e-mail inesperado, verifique se a mensagem é genuína antes de abrir um anexo. Por exemplo, ligue para o remetente.
Sempre tenha um backup confiável e testado de todos os seus dados principais, para que possam ser restaurados em caso de emergência.
Use um bom pacote de segurança para garantir que nenhum ransomware possa infectar seu computador.
Isso deve ser o suficiente para nunca encontrar GandCrab pessoalmente. Mas se o seu computador já estiver criptografado pelo GandCrab, você ainda pode minimizar os danos:
Você pode obter seus arquivos de volta gratuitamente - verifique a ferramenta de descriptografia no site do projeto No More Ransom . Algumas versões do ransomware GandCrab têm falhas que permitem a descriptografia. Infelizmente, nem todas as versões podem ser descriptografadas.
Antes de baixar e iniciar a ferramenta de descriptografia, use uma solução antivírus confiável para remover o ransomware de seu dispositivo. Caso contrário, o malware bloqueará repetidamente seu sistema ou criptografará arquivos.
O Avance Network é uma comunidade fácil de usar que fornece segurança de primeira e não requer muito conhecimento técnico. Com uma conta, você pode proteger sua comunicação e seus dispositivos. O Avance Network não mantém registros de seus dados; portanto, você pode ter certeza de que tudo o que sai do seu dispositivo chega ao outro lado sem inspeção.
