OphionLocker, Um Novo Ransomware usa Curva Elíptica para Criptografia, Tor para Comunicação e Malvertising para Propagação

Table Of Contents

• OphionLocker Ransomware usa Curva Elíptica para Criptografia, Tor para Comunicação e Malvertising para Propagação
• Criptografia de Curva Elíptica
• Funcionamento
• Ransomware se tornando cada vez mais teimoso

OphionLocker Ransomware usa Curva Elíptica para Criptografia, Tor para Comunicação e Malvertising para Propagação

Uma nova variedade de Ransomware foi descoberta pelos pesquisadores da Trojan7Malware. Batizado de OphionLocker, este Ransomware é muito único no sentido de que usa criptografia de curva elíptica para criptografar arquivos e Tor para comunicação. Outra assinatura única do OphionLocker é que ele usa campanhas de malvertising para se propagar em vez de métodos tradicionais de spear phishing.

Criptografia de Curva Elíptica

A criptografia de curva elíptica (ECC) é uma criptografia de chave pública baseada na estrutura algébrica de curvas elípticas sobre campos finitos. Um dos principais benefícios da criptografia ECC é que ela fornece o mesmo nível de criptografia com tamanhos de chave menores.

Essa forma algébrica de criptografia é baseada na resolução do logaritmo discreto de um elemento aleatório da curva elíptica. Isso, como a ideia mais familiar de fatorar o produto de dois números primos muito grandes, oferece uma função unidirecional para fundamentar a segurança dos sistemas de criptografia de chave pública. A ECC oferece níveis equivalentes de segurança com tamanhos de chave menores, uma vantagem particular em sistemas com poder computacional limitado, como smartphones.

Funcionamento

Uma vez que uma potencial vítima tenha baixado o malware ao visitar um site que serve o código de malvertising, ele criptografa os arquivos disponíveis e então usa uma URL Tor2web para navegar até uma página de instruções sobre como pagar para obter a ferramenta de descriptografia. Os atacantes exigem um pagamento de um Bitcoin pela ferramenta de descriptografia, o que se traduz em $350 de acordo com as taxas de câmbio atuais. No entanto, o preço da ferramenta de descriptografia pode mudar conforme a geolocalização da vítima. A Trojan7Malware forneceu o seguinte padrão de criptografia de arquivos deste Ransomware, que é semelhante aos tipos de arquivos criptografados pelo CryptoLocker e TorLocker.

Extensões criptografadas;
“accdb”,0,”.ai”,0,”.arw”,0,”.bay”,0,”.blend”,0,”.cdr”,0,”.cer”,0,”.cr2″,0,”.crt”,0,”.crw”,0,”.dbf”,0,”.dcr”,0,”.der”,0,”

.dng”,0,”.doc”,0,”.docm”,0,”.docx”,0,”.dwg”,0,”.dxf”,0,”.dxg”,0,”.eps”,0,”.erf”,0,”.indd”,0,”.jpe”,0,”.jpg”,0,”.jpeg”,0,”

.kdc”,0,”.mdb”,0,”.mdf”,0,”.mef”,0,”.mrw”,0,”.nef”,0,”.nrw”,0,”.odb”,0,”.odm”,0,”.odp”,0,”.ods”,0,”.odt”,0,”.orf”,0,”

.p12″,0,”.p7b”,0,”.p7c”,0,”.pdd”,0,”.pdf”,0,”.pef”,0,”.pem”,0,”.pfx”,0,”.ppt”,0,”.pptm”,0,”.pptx”,0,”.psd”,0,”.pst”,0,”

.ptx”,0,”.r3d”,0,”.raf”,0,”.raw”,0,”.rtf”,0,”.rw2″,0,”.rwl”,0,”.srf”,0,”.srw”,0,”.wb2″,0,”.wpd”,0,”.wps”,0,”.xlk”,0,”

.xls”,0,”.xlsb”,0,”.xlsm”,0,”.xlsx”,0,0″

Um aspecto interessante deste Ransomware é que ele tenta estar ciente do ambiente em que está operando. Se o malware detectar um ambiente virtual, ele não pedirá nenhum pagamento. Ambientes virtuais são geralmente usados por pesquisadores de segurança contra malwares como este.

Outra característica única deste malware é que ele gera um número HWID (Identificação de Hardware) para garantir que apenas uma amostra possa ser gerada por PC.

Os autores/manipuladores deste malware parecem estar usando essas técnicas para esconder o Ransomware pelo maior tempo possível dos pesquisadores de segurança e também blacklist qualquer PC que considerem ter sido comprometido pelos pesquisadores de segurança.

OphionLocker é mais mortal do que os avatares de ransomware anteriores porque não precisa de conectividade com a internet ou interação do usuário para começar a criptografia. Isso ocorre porque uma chave pública já está presente na carga útil baixada pela vítima. Isso torna mais difícil detectar ou prevenir a infecção.

Ransomware se tornando cada vez mais teimoso

A propagação e a ferocidade desses Ransomwares e os manipuladores/atacantes/autores parecem estar se tornando melhores e mais ousados, usando técnicas de criptografia cada vez mais complicadas. Apesar da alta visibilidade da desativação do CryptoLocker, o Ransomware continua sendo uma ameaça mortal para os usuários. O avanço nas técnicas adotadas pelos autores desse tipo de malware pode ser notado no OphionLocker, que usa uma criptografia de chave menor com criptografia de curva elíptica e a rede de anonimato Tor para comunicação com seu servidor de comando e controle.

Recurso: Trojan7Malware