Está a circular na internet um novo tipo de malware, neste
caso um ramsonware. Entitulado de Cryptolocker.
Como é que fico infectado?
1.
Por emails
falsos que fingem ser da UPS, Fedex, DHL, etc a indicar que temos uma encomenda
à espera de ser recebida ou algo do género.
2.
Através de
sites que estejam vulneráveis a este tipo de infecção.
3.
Através de
Trojans que fingem ser programas necessários para ver videos online,
típicamente encontrados em sites Porno e de SportTV online.
O que acontece quando fico infectado?
Uma vez activa a infecção no
computador vai percorrer as drives (locais e de rede) e encriptar os
seguintes tipos de ficheiros com uma mistura de encriptação RSA e AES: *.odt,
*.ods, *.odp, *.odm, *.odc, *.odb, *.doc, *.docx, *.docm, *.wps, *.xls, *.xlsx,
*.xlsm, *.xlsb, *.xlk, *.ppt, *.pptx, *.pptm, *.mdb, *.accdb, *.pst, *.dwg,
*.dxf, *.dxg, *.wpd, *.rtf, *.wb2, *.mdf, *.dbf, *.psd, *.pdd, *.eps, *.ai,
*.indd, *.cdr, ????????.jpg, ????????.jpe, img_*.jpg, *.dng, *.3fr, *.arw,
*.srf, *.sr2, *.bay, *.crw, *.cr2, *.dcr, *.kdc, *.erf, *.mef, *.mrw, *.nef,
*.nrw, *.orf, *.raf, *.raw, *.rwl, *.rw2, *.r3d, *.ptx, *.pef, *.srw, *.x3f,
*.der, *.cer, *.crt, *.pem, *.pfx, *.p12, *.p7b, *.p7cThe
Após um tempo, tipicamente o
tempo que demora a encriptar os ficheiros aparecerá uma janela semelhante a
esta abaixo, que vai pedir um resgate de 100 ou 300 US$. O pagamento pode ser
feito por Bitcoins, Moneypack, Ukash ou CashU. E aparecerá uma contagem
decrescente para o fazer!
Há alguma forma de recuperar os ficheiros?
Infelizmente não. Desencriptação por força bruta não é
possível no tempo que é disponibilizado e todas as ferramentas que têm surgido
têm-se revelado ineficazes.
A única forma de não ser infectado por este e outro tipo de malware é usar o bom senso e não abrir emails suspeitos, sites, etc.
A única forma de não ser infectado por este e outro tipo de malware é usar o bom senso e não abrir emails suspeitos, sites, etc.
No caso de se ter sido infectado a única forma de recuperar
os ficheiros é através de backups que tenham sido feitos.
No comments:
Post a Comment