Derrotamos a versão 3 do CryptXXX

21 dez 2016

Em abril de 2016, um criptor jovem e ambiciosos chamado CryptXXX foi lançado e distribuído pelos exploit kits Angler e Neutrino. Depois do lançamento, esperou-se que os criminosos responsáveis pelo Trojan simplesmente iriam ficar à espera do lucro, vendo o dinheiro fluir do bolso das vítimas para suas carteiras de bitcoins. No entanto, nem tudo saiu como o esperado.

Alguns dias depois que o CryptXXX foi descoberto, especialistas da Kaspersky Lab descobriram um erro no algoritmo de criptografia de arquivos, o que viabilizou a criação de uma solução contra a ameaça.

Os criminosos tiveram que levantar da poltrona e trabalhar para consertar o bug. Então, começaram a distribuir a nova versão, mas, novamente, apenas alguns dias foram necessários para que nossos especialistas inventassem uma cura para a segunda versão. O Rannoh decriptor foi atualizado – e as vítimas do Trojan puderam mais uma vez desbloquear seus arquivos sem pagar o resgate.

Com a segunda tentativa frustrada, os criminosos mais uma vez abandonaram a zona de conforto e criaram uma terceira versão do ransomware, esperando que ninguém fosse ser capaz de encontrar uma forma de criar um decriptor.

Dessa vez quase conseguiram. Por um bom tempo o CryptXXX 3.0 (e todas as variantes 3.x) aterrorizaram pessoas ao redor do mundo inteiro, bloqueando seus arquivos e demandado resgates para trazê-los de volta. Essa versão era capaz de roubar credenciais de diversos aplicativos.

A distribuição começou em maio, e nossos especialistas estimam que o número de usuários infectados ultrapassou 100 mil. Os produtos da Kaspersky Lab por si detectaram 80 mil tentativas de infecção de computadores com o CryptXXX v3. Quase um terço de todos os ataques tinham como alvo os EUA, Rússia, Alemanha, Japão, Índia e Canadá, com 28% das tentativas.

Mas nada é para sempre. Temos o prazer de anunciar que nossos pesquisadores conseguiram encontrar uma cura para a terceira versão do trojan CryptXXX – arquivos .crypt1, .crypt2 e .cryptz agora podem ser desbloqueados. Acrescentamos a solução ao Rannoh Decriptor, que pode ser encontrado em nosso site ou no NoMoreRansom.org.

Se você foi atingido por qualquer versão do CryptXXX – visite um dos sites mencionados, baixe a ferramenta e recupere seus arquivos. É gratuito, de modo que você economizará um bom dinheiro ao não precisar pagar o resgate aos criminosos.

“Nosso conselho às vítimas de diferentes famílias de ransomware é o seguinte: mesmo que não exista ferramenta de desbloqueio disponível para a versão do malware que criptografou seus arquivos, por favor, não pague o resgate aos criminosos. Salve os arquivos corrompidos e seja paciente – a probabilidade de uma ferramenta aparecer em um futuro próximo é alta. Consideramos o CryptXXX v3 prova disso. Diversos especialistas em segurança ao redor do mundo trabalham continuamente para ajudar vítimas de ransomware. Cedo ou tarde a solução para a grande maioria dos ransomwares será encontrada.” – conselho dado por Anton Ivanov, especialista em segurança da Kaspersky Lab.

Nosso outro conselho é que você considere proteção proativa. É muito mais conveniente não ter seus arquivos criptografados em primeiro lugar. Para isso, siga os dois passos a seguir:

  1. Faça backups de seus arquivos regularmente em uma mídia removível que não esteja conectada a seu computador o tempo inteiro.
  1. Instale uma boa solução de segurança. A propósito, estudos independentes mostraram recentemente que o Kaspersky Internet Security é extremamente eficaz contra ransomware.