Um CryptoWall 3.0 Ransomware Atualizado está Usando Recursos Anti-Rastreamento Avançados
Pessoas inescrupulosas estão sempre procurando formas eficientes de incrementar as suas contas bancárias à custa dos usuários de computador. Em seus mais recentes esforços para fazer isso, essas pessoas atualizaram uma ameaça muito popular, chamada CryptoWall Ransomware.
Os ciber-criminosos por trás do CryptoWall Ransomware lançaram uma nova versão desse malware, que é conhecido por criptografar arquivos e então tentar extorquir dinheiro do usuário do computador, prometendo uma chave de descriptografia. O CryptoWall 3.0 usa canais RC4 I2P criptografados para suas comunicações com os servidores de Controle de Comando e integra um mecanismo de protecção no caso de conexões danificadas. Basicamente, esse é um meio usado por essa ameaça de ransomware de evitar o seu rastreamento, nos seus esforços para se conectar e receber instruções maliciosas depois de atacar um computador.
Essa nova versão é distribuída através de vários métodos, incluindo ataques drive-by download, kits de exploração, vulnerabilidades conhecidas de plug-in, botnets e e-mails de spam com anexos carregando o malware CryptoWall. Pode-se dizer que o CryptoWall está entre as piores ameaças da Internet quando se trata de ransomware.
Os usuários dos computadores infectados pelo CryptoWall versão 3.0 podem ter os seus arquivos de vídeo, texto e imagem criptografados com o algoritmo RSA2048. Além disso, eles recebem uma notificação sobre o que aconteceu. A mensagem doCryptoWall 3.0 informa aos usuários que eles têm de pagar um resgate no valor de 2,17 Bitcoins ($500) no prazo de sete dias. A mensagem é bastante firme em suas exigências, mas pode não cunmprir totalmente as suas promessas se essa taxa ultrajante for paga.
O código de dissecação executado por um pesquisador de segurança francês chamado Kafeine, revelou que o CryptoWall 3.0 descobre a geolocalização do computador da vítima através do seu endereço de IP. A atualização para a versão 3.0 permite que ele faça isso para facilitar a exibição de uma mensagem personalizada, geralmente na língua usada no computador, como você pode ver abaixo:
Image 1. CryptoWall version 3.0 message in French. - Source: Malware.DontNeedCoffee.com
Image 2. 'HELP_DECRYPT.HTML' message by CryptoWall version 3.0 - Source: Malware.DontNeedCoffee.com
Detalhes Tecnólogicos do CryptoWall 3.0
O pedido de resgate é apresentado na forma de vários arquivos colocados na área de trabalho da vítima: HELP_DECRYPT.HTML.PNG.TXT ou.URL, Pode-se notar que os ciber-criminosos se esforçam para ajudar as vítimas a criar uma carteira de Bitcoins e comprar Bitcoins para o resgate, assim como no caso do CoinVault ransomware >.
A ousadia do CryptoWall leva-nos ao fato de que ele oferece um serviço gratuito de descriptografia para validar a eficiência do mecanismo de descriptografia do ransomware. Após uma verificação bem-sucedida, os usuários são convidados a adquirir a chave de descriptografia através de uma transferencia de Bitcoins para os códigos designados de uma carteira virtual: 15qZLHkcgGnqaBByno2nq6ufa1og3PjnxU and 1JYYzNHDaGC7noiE4eKatuYA4AThqVocDd.
A pesquisa de Kafeine revelou que os links oferecidos pelo CryptoWall versão 3.0 e suas comunicações são encaminhados via RC4 canais 12P criptografados, que lhe permite direcionar anonimamente as comunicações com os servidores de C & C. Se o site fornecido não estiver disponível através dos links acima mencionados, as vítimas são aconselhadas a instalar o Tor Browser Bundle e seguir uma URL que os levará a um site localizado no Tor, com o código de instrução: paytoc4gtpn5cz12.onion/vRRRbw
Os peritos em segurança estão constantemente lembrando os usuários de computador de que um pagamento de resgate bem sucedido não resultará na recuperação ou vai descriptografar os seus arquivos. O CryptoWall 3.0 usa um método seguro de criptografia, o RSA2048, visto em seus antecessores CryptoWall 2.0, CryptoDefense e CryptoLocker, para garantir que os arquivos sejam completamente criptografados. Embora, o CryptoWall não use técnicas de engenharia social encontradas em outros ransomwares como o Kovter, os dados sugerem que os criminosos por trás desse esquema conseguiram acumular mais de US $ 1,1 milhões. Os usuários de computador, como de costume, são exortados a manter os seus softwares atualizados e utilizar a mais recente proteção anti-malware disponíERROR: missing translation parameters.vel, para frustrar ataques de ameaças de ransomware recém-atualizadas e outros malwares agressivos.