Trojan se disfarça de ferramenta anti-ransomware

Cibercriminosos estão distribuindo ransomware disfarçado como ferramenta para decodificar arquivos codificados pelo Trojan STOP.

O que as pessoas fazem se descobrem que um ransomware criptografou seus arquivos? Primeiro entram em pânico, provavelmente. Depois se preocupam, e depois procuram formas de recuperar os dados sem pagar resgate aos invasores (o que seria inútil, de qualquer maneira). Em outras palavras, buscam no Google uma solução ou pedem conselhos nas redes sociais. É exatamente isso que os criadores do Trojan Zorab desejam, tendo escondido o malware em uma ferramenta que visa ajudar as vítimas do STOP/Djvu.

Falso decriptor do STOP usado como isca

De fato, os cibercriminosos decidiram aumentar os problemas já enfrentados pelas vítimas do ransomware STOP/Djvu, que criptografa dados e, dependendo da versão, atribui uma extensão – como .djvu, .djvus, .djvuu, .tfunde, e .uudjvu – para os arquivos modificados. Os criadores do Zorab lançaram uma ferramenta que supostamente decodifica esses arquivos, mas na verdade os criptografa novamente.

Você pode realmente decodificar arquivos que as versões anteriores do STOP comprometeram, pois a Emsisoft lançou uma ferramenta em outubro de 2019. Mas os Trojan atuais usam um algoritmo de criptografia mais robusto que a tecnologia desenvolvida não é capaz de decifrar. Portanto, pelo menos por enquanto, não há maneira confiável recuperar os arquivos criptografados pelas novas versões do STOP/Djvu.

Dizemos “por enquanto” porque as ferramentas de decodificação aparecem em um dos dois casos: os cibercriminosos cometem um erro no algoritmo de criptografia (ou simplesmente usam um código fraco) ou a polícia localiza e apreende seus servidores. Claro, os criadores podem publicar voluntariamente as chaves, mas isso raramente acontece – e mesmo que o façam, as empresas da infosec ainda precisam criar um utilitário para que as vítimas possam usar e restaurar seus dados.

Isso aconteceu com as chaves dos arquivos atingidos pelo ransomware Shade, e publicamos um decriptor em abril deste ano.

Como saber se um decriptor é falso

É muito improvável que anônimos desejem criar uma ferramenta de decodificação e o coloquem em algum site desconhecido, ou forneçam um link direto em um fórum ou rede social. Você pode encontrar decriptors genuínos nos sites das empresas de segurança da informação ou em portais especializados dedicados ao combate ao ransomware, como o nomoreransom.org. Ferramentas hospedadas em outro lugar podem ser consideradas como suspeita.

Os cibercriminosos apostam no pânico, sabendo que alguém que perdeu arquivos para um programa de criptografia vai fazer qualquer coisa. Mesmo que você acredite que uma ferramenta é autêntica, é importante se manter calmo e objetivo e verificar o site corretamente. Se você tem alguma suspeita sobre sua legitimidade, não chegue perto do decriptor.

Como se proteger contra o Zorab e outros ransomware

  • Se você não confia na fonte, não acesse links suspeitos nem execute arquivos. Se você estiver procurando por um decriptor, as fontes mais confiáveis ​​- os lugares em que você deve começar a pesquisar – serão o kaspersky.com e o nomoreransom.org (projeto conjunto executado por várias empresas) e os sites de outros fornecedores de soluções de segurança. Se você encontrar a ferramenta em outro lugar, é altamente recomendável verificar a legitimidade de seus autores e o site em que foi publicado antes mesmo de pensar em usá-lo.
  • Faça backup de arquivos importantes.
  • Use uma solução de segurança confiável que detecta ransomwares conhecidos e, quando encontra algo desconhecido, identifica e bloqueia tentativas de modificar arquivos.

Para empresas que se preocupam com ransomwares, mas utilizam outra solução de segurança, oferecemos o Kaspersky Anti-Ransomware Tool. Compatível com a maioria das outras proteções, ele detecta as ameaças que podem burlar suas linhas de defesa.

Dicas

Wi-Fi falso a bordo

Mesmo em altitude de cruzeiro, as ameaças cibernéticas ainda podem tornar sua vida digital turbulenta, como comprovado por uma prisão recente. Como se proteger a 30 mil pés acima do nível do mar?