Variação do Ransomware TorrentLocker ataca usuários japoneses

Table Of Contents

• Variação do Ransomware TorrentLocker escrita para atacar especificamente usuários japoneses
• Sobre o TorrentLocker
• O ataque

Variação do Ransomware TorrentLocker escrita para atacar especificamente usuários japoneses

Uma nova variação do ransomware TorrentLocker foi encontrada por especialistas em segurança da Symantec sendo explorada na natureza. Esta é a primeira instância relatada de um ransomware especificamente direcionado a usuários no Japão. Embora o Japão não seja novo em ransomware, nunca antes um criminoso cibernético fez uma tentativa tão específica de atacar usuários japoneses. Pesquisadores da Symantec afirmam que este ransomware é uma variante localizada do TorLocker. O malware criptografa arquivos com certas extensões de arquivo no computador comprometido e exige que o usuário pague para descriptografar os arquivos. Pesquisadores da Symantec também confirmaram que existem várias variantes deste ransomware japonês em particular.

Sobre o TorrentLocker

Este novo tipo de ransomware é um irmão do CryptoLocker e do CrptoWall e usa comunicação com seu servidor de comando e controle usando a rede de anonimização Tor. O TorrentLocker usa temas e nomes do ransomware CryptoLocker e CryptoWall, mas é muito diferente a nível de código e acredita-se ser uma nova cepa de ransomware. O malware primeiro se conecta a um servidor de comando e controle (C&C) por meio de comunicações seguras e troca um certificado antes de criptografar o malware. O malware usa o algoritmo Rijndael para criptografia de arquivos. Este é um cifra simétrica e usará uma senha armazenada localmente ou recuperada do servidor dos atacantes remotos para criptografia.

O ataque

Ransomware geralmente se espalha por tantos meios quanto possível tentando infectar usuários desavisados, no entanto, o meio preferido pelos criminosos cibernéticos é o spear phishing. O malware é carregado em um e-mail inocente como um anexo que a vítima baixa pensando ser um arquivo genuíno. Uma vez que um ransomware foi baixado em uma máquina, ele começa a criptografar todos os arquivos que foi ordenado a fazer via programa e solicita pagamento – geralmente em Bitcoins – para descriptografar os arquivos, tornando assim os dados do usuário reféns. Este ransomware em particular também funciona da mesma maneira com a adição de que todas as instruções estão escritas em japonês.

TorLocker tem sido usado em ataques de ransomware ao redor do mundo. A ameaça faz parte de um programa de afiliados, onde o operador do programa fornece aos participantes o construtor para criar ransomware personalizado, acesso ao painel de controle do TorLocker para rastrear infecções e arquivos diversos a serem usados em conjunto com o malware. Em troca, os participantes dão uma parte do lucro do ataque ao operador do programa de afiliados.

O malware é espalhado através da página de phishing conforme mostrado na imagem acima, que exibe uma página falsa de instalador do Adobe Flash Player. Se um usuário clicar no link em amarelo para baixar este Flash Player falso, ele é solicitado a baixar e executar um arquivo de configuração para instalar o plugin. No entanto, o arquivo não está digitalmente assinado, nem contém o ícone típico usado em instaladores do Flash Player. Esses dois fatos sugerem que é um aplicativo carregado de malware falso que apenas usuários atentos poderão notar a diferença. Uma vez que o arquivo é baixado e instalado, o ransomware começa a tarefa de criptografar os dados do usuário.

Uma vez que o malware tenha terminado seu trabalho, esta tela é mostrada ao usuário. A mensagem então pede ao usuário para pagar para desbloquear seus arquivos. O resgate exigido varia de 40.000 ienes a 300.000 ienes (aproximadamente US$500 a US$3.600). O Japão está se aproximando rapidamente de suas férias de ano novo, o que é um momento oportuno para os criminosos cibernéticos atacarem. O atacante provavelmente quer aproveitar ao máximo os usuários desavisados navegando na internet.

A Symantec tem as seguintes recomendações para evitar ou mitigar infecções por ransomware:

• Atualize o software, sistema operacional e plugins do navegador em seu computador para evitar que os atacantes explorem vulnerabilidades conhecidas.

• Use um software de segurança abrangente, como o Norton Security, para se proteger contra criminosos cibernéticos.

• Faça backup regularmente de quaisquer arquivos armazenados em seu computador. Se seu computador foi comprometido com ransomware, esses arquivos podem ser restaurados uma vez que o malware seja removido do computador.

• Nunca pague o resgate. Não há garantia de que o atacante descriptografará os arquivos conforme prometido uma vez que receba o pagamento.