O Locky Ransomware Atualizado Aleijando os Sistemas do Windows XP Restantes
Aqui está uma breve recapitulação do que aconteceu na camada superior do cenário de ransomware nos últimos meio ano. Depois de dominar o setor por um bom tempo, o Locky saiu de férias em dezembro de 2016 e ficou sob o radar por alguns meses. O Cerber se tornou a família número 1 de ransomware no que diz respeito à distribuição generalizada e, embora cepas menores como Spora e Shade tentassem lutar, elas não tinham chance. Em abril, o Locky ergueu sua cabeça feia mais uma vez, mas a explosão de spam acabou sendo mais uma aparição do que um retorno de volta com um estrondo.
Em maio, Jaff, inicialmente considerado o legítimo sucessor de Locky, apareceu e infectou muitas pessoas em questão de horas, mas seu momento foi horrível. Vinte e quatro horas depois, do surto do WannaCry paralisou centenas de milhares de computadores em todo o mundo e mostrou a todos como o ransomware funciona. Felizmente, a MalwareTech estava no caso e, depois de ativar um interruptor de interrupção, ele terminou sozinho com o que é certamente uma das maiores explosões de malware que o mundo já viu. Nas semanas seguintes, os especialistas em segurança conseguiram decifrar a criptografia de Jaff, e Cerber continuou seu reinado, com inúmeras outras famílias lutando por um pedaço da torta.
Parece uma trama complicada para uma novela de longa duração. E, como uma novela de longa duração, parece não ter fim à vista. Ontem, por exemplo, Locky voltou mais uma vez, acompanhado pelo amor de sua vida, a botnet de spam Necurs.
Os pesquisadores do Talos Intelligence identificaram os e-mails que, a certa altura, atingiram o pico de mais de 7% de todo o volume de spam detectado em um de seus sistemas. As explosões diminuíram com o passar do dia, mas os especialistas observaram que Necurs ainda está enviando e-mails com Locky em números menores. Não há nada inovador nos próprios e-mails.
Os criadores de ransomware dependem muito de técnicas de engenharia social
Usando engenharia social, os criminosos tentam induzir as vítimas em potencial a pensar que estão recebendo uma fatura ou um recibo de pagamento anexado à mensagem. O ransomware também não foi completamente revisado.
Embora o blog da Talos não tenha muitos detalhes técnicos, os pesquisadores não disseram nada sobre mudanças no mecanismo de criptografia e destacaram que o DGA (Domain Generation Algorithm) é o mesmo de abril. A extensão anexada aos arquivos criptografados ainda é .loptr (Loptr é um nome alternativo do deus Loki da mitologia nórdica). Dito isto, os bandidos Locky fizeram algumas atualizações. Curiosamente, algumas das atualizações mencionadas tornaram o ransomware menos poderoso.
Por um lado, alguns meses atrás, Locky usou uma combinação inteligente de um documento do Word com macros embutido em um PDF, enquanto que agora ele vem como um arquivo EXE dentro de dois arquivos ZIP. É muito mais provável que o executável suscite suspeitas entre usuários com conhecimento técnico moderado.
Locky Ransomware evolui para desenterrar o passado
Os autores de Locky adicionaram um recurso anti-depuração que dificultou a análise, mas os pesquisadores do Talos conseguiram contorná-lo com relativa facilidade. Quando tentaram executar as amostras em uma máquina com Windows XP, elas funcionaram, mas quando as lançaram em um PC com Windows 7, o ransomware falhou ao implantar. Os especialistas da Talos calculam que isso se deve à DEP (Data Execution Protection) do Windows, um recurso de segurança introduzido pela Microsoft no Vista. Em teoria, se a versão do seu Windows não for antiga (não vamos esquecer que o Vista foi lançado há dez anos), você deve estar protegido contra essa variante específica do Locky. Caso contrário, você é o único responsável pela execução de um sistema que está muito além do seu prazo de validade.
Talos observou que os bandidos provavelmente tinham pressa em lançar a nova versão do ransomware, o que, sem surpresa, levou a erros. Os erros podem ser corrigidos nas próximas versões e Locky poderá funcionar em breve em máquinas mais modernas. Vamos ver o que acontece no próximo episódio da saga do ransomware