Variante do ramsonware Cryplocker se apresenta como atualizador do Photoshop e do Office em sites frequentados por usuários que compartilham arquivos por meio de conexão P2P
Pesquisadores de segurança identificaram o que parece ser uma versão do ransomware Cryptolocker, que se dissipa por meio de drive USB.
Para quem não sabe, um ramsonware é um tipo de vírus que trava o PC e pede um "resgate" para liberá-lo novamente.
De acordo com as empresas de segurança Trend Micro e ESET, a variante Crilock.A recentemente encontrada (que foi autointitula "Cryptolocker 2.0") se apresenta como um atualizador para Adobe Photoshop e Microsoft Office em sites frequentados por usuários que compartilham arquivos por meio de uma conexão P2P (peer-to-peer).
A arquitetura de comando e controle também é nova, deixando de lado o algoritmo de geração de domínio (DGA) em favor de URLs hardcoded menos sofisticadas.
Essas estranhezas convenceram a Trade Micro de que o Crilock.A é mais uma obra de imitadores que algo feito pelo grupo que originalmente criou a ameaça.
Ter como foco usuários que compartilham arquivos é uma escolha bem estranha porque, enquanto aumentam as chances de o malware ser de fato baixado, a lista de vítimas em potencial ainda é menor que a da versão "oficial" do vírus.
Um ponto semelhante pode ser o abandono do DGA pelo hardcode, que é bem mais fácil de ser bloqueado. A empresa de segurança tem que simplesmente fazer uma engenharia reversa da lista e o malware se torna inútil.
À espreita
No entanto, há vantagens nessas mudanças. Usar harcode é mais simples, enquanto que disseminar o vírus a partir de sites de P2P é uma forma de permanecer menos visível do que seria quando se usa uma enxurrada de e-mails de phishing.
O mais interessante e, talvez, mais revelador de tudo é que o Crilock.A adiciona a capacidade de infectar drives removíveis. A técnica é antiga e infectar unidades pode retardar a sua disseminação, mas garante um grau de longevidade.
Por outro lado, enquanto o vírus pode se esconder em unidades durante os próximos anos, no momento em que ele é ativado provavelmente será detectado pela maioria dos programas de segurança.
Apenas para ficar ainda mais interessante, a variante acrescenta outras habilidades, incluindo o lançamento de um componente para lançar ataques DDoS, roubar carteiras Bitcoin, e até mesmo lançar uma ferramenta de mineração de Bitcoin.
A ESET publicou uma lista completa das diferenças entre o Cryptolocker e o Crilock.A/Cryptolocker 2.0 em seu site.
Na mesma semana em que o Cryptolocker 2.0 foi detectado (antes do Natal), a Dell SecureWorks publicou a sua estimativa de que a versão original do programa tinha infectado cerca de 200 mil a 300 mil PCs em 100 dias. Cerca de 0,4% dessas vítimas provavelmente pagou o resgate exigido de cerca de 300 dólares em Bitcoins ou via MoneyPak, um serviço de pagamento online.
Fonte: IDG NOW