CoinVault atrai usuários ao descriptografar um arquivo apenas para criptografar todos os outros

Table Of Contents

• CoinVault atrai usuários ao descriptografar um arquivo apenas para criptografar todos os outros
• Isca para atrair dinheiro
• Dicas de Segurança

CoinVault atrai usuários ao descriptografar um arquivo apenas para criptografar todos os outros

O mais recente ransomware chamado CoinVault ataca o PC sequestrado e oferece à vítima a generosidade de deixá-la descriptografar um arquivo gratuitamente antes de exigir pagamento pelo restante em BitCoins. Assim como um traficante de drogas ou um assaltante de banco, o novo malware, chamado CoinVault, dá à parte pagante um “gosto” dos bens liberados e, em seguida, exige o pagamento total pelo restante. O resgate aumenta quanto mais tempo a vítima não paga.

Isca para atrair dinheiro

CoinVault é semelhante a outros ransomwares que já vimos antes. A única diferença é que este ransomware permite que você descriptografe um dos arquivos “reféns” para mostrar que a descriptografia funciona e para mostrar as ‘nobres’ intenções dos sequestradores. Assim que infecta um PC com Windows, o CoinVault exibe uma mensagem informando às vítimas que “Seus documentos e arquivos pessoais neste computador foram criptografados.” Ele exige pagamento na criptomoeda online Bitcoin e fornece instruções sobre como as vítimas podem enviar o dinheiro. Este é um software que pode ser removido da sua máquina como qualquer outro. Mas, uma vez removido, você fica sem nenhuma maneira de recuperar seus arquivos perdidos. E o ransomware exibe isso para reforçar a mensagem.

Especialistas sempre aconselham os usuários a não pagarem tal resgate. Principalmente porque não existe uma estrutura legal ou qualquer meio para garantir que o atacante descriptografará seus arquivos uma vez que o pagamento tenha sido feito. A maioria dos atacantes geralmente descriptografa seus arquivos. Mas se um decidir não fazê-lo, isso se torna um problema, pois descriptografá-lo você mesmo pode levar anos. A política de “uma descriptografia gratuita” é provavelmente um meio para o atacante tentar fazer mais pessoas pagarem. O local onde as vítimas são solicitadas a pagar também é dinâmico, reduzindo as chances de o atacante ser rastreado.

Pesquisadores de segurança analisaram o malware. Ele é feito na estrutura .Net. Uma informação interessante é que este ransomware também verifica analisadores de rede como o Wireshark, provavelmente para se proteger. A Kaspersky detecta esta família como ‘Trojan-Ransom.Win32.Crypmodadv.cj’. Já vimos aplicações maliciosas semelhantes no passado (em relação à funcionalidade), como ‘TorrentLocker’ e alguns ransomwares PowerShell, mas a quantidade de esforço investido neste para proteger o código mostra que os cibercriminosos estão aproveitando bibliotecas e funcionalidades já desenvolvidas para evitar reinventar a roda.

Dicas de Segurança

Para se proteger contra tais ransomwares, é aconselhável:

• Sempre fazer backup de todos os seus arquivos críticos e salvá-los em um disco rígido externo ou na nuvem.

• Salvar várias versões para evitar a chance de o backup também ser criptografado.

• Se você algum dia for infectado por ransomware, pode simplesmente excluir o malware e restaurar seus arquivos antigos.

• Você também deve garantir que todo o seu software esteja atualizado e corrigido, pois o ransomware quase sempre explora vulnerabilidades de software conhecidas.

• Certifique-se de instalar e executar uma solução antivírus robusta, que capturará a maioria ou todas as formas de malware controlado por criminosos.

Recurso: Secure List.