Malware de extorsão GandCrab retorna em versão romântica

O GandCrab ainda detém 40% do mercado de ransomwares. Métodos de distribuição mais recentes ajudaram o malware a se destacar.

“Invadimos sua webcam e o pegamos vendo pornô. Criptografamos seus dados. Agora, queremos um resgate.” Você pode lembrar de uma chantagem similar que teve grande sucesso. Bem, parece que o rumor quanto ao ransomware por trás dessa extorsão ter morrido era exagero.
O GandCrab ransomware está de volta e ativo como nunca. Seus desenvolvedores lançam constantemente novas versões para não perderem a parcela de mercado atual de 40% que conquistaram arduamente. Os cibercriminosos que alugam e propagam o GandCrab também se atualizam, optando por táticas diversas, criativas, e por vezes até românticas para infectar as vítimas.

Ransomware sentimental

Assuntos com declarações de amor chamam atenção, mas “Minha carta de amor para você”, “Apaixonado por você”, e “Escrevi o que sinto por você” podem ser o prelúdio do desastre. E na proximidade do Dia dos Namorados, Natal, Ano Novo, seu aniversário, ou ainda em uma segunda-feira qualquer no trabalho, tal mensagem pode não levantar suspeitas. Como qualquer e-mail, entretanto, esse tipo é digno de cautela.

A variante mais comum de um e-mail malicioso que anda por aí atualmente possui uma frase romântica como assunto, um coração no corpo e um anexo – arquivo ZIP tipicamente chamado Love_You seguido de diversos dígitos. Se você extrai e executa o arquivo de JavaScript que vem dentro, será realizado o download do GandCrab.

Então, você será direcionado a uma mensagem explicando que todos os dados em seu computador foram criptografados, e poderá pagar o resgate (provavelmente em bitcoins) a fim de recuperá-los. Se você não sabe lidar com criptomoedas, a quadrilha oferece gentilmente uma janela de chat ao vivo que ensina a comprar a quantia necessária para o pagamento do resgate.

Ransomware para negócios

Em 2017, um patch foi lançada para corrigir a vulnerabilidade em uma ferramenta utilizada para sincronizar dados entre dois sistemas de gerenciamento para empresas de TI. Mas nem todo mundo a instalou. Em 2019, o GandCrab tem como alvo quem não o fez, criptografando todo computador que alcança.

A falha de segurança permite que golpistas criem novas contas de administrador e a partir dessas emitem comandos de instalação do ransomware nos endpoints gerenciados. Em outras palavras, criptografam as máquinas dos clientes da empresa atacada e demandam um pagamento (sempre em criptomoeda).

Ransomware para precavidos (todos)

Quantos de nós abririam um anexo de e-mail se dissesse ser uma atualização do mapa da saída de emergência do prédio em que você trabalha? Mesmo vinda de um endereço completamente desconhecido? Muito provavelmente, todos nós. No fim, poucos lembram dos gerentes de segurança.

Os golpistas exploram essa oportunidade, enviam e-mails maliciosos com um arquivo word anexado. Os que abrem veem o título do arquivo – “Mapa saída de emergência” – e o botão de habilitar conteúdo. Se você clica nele, instala o GandCrab.

Ransomware aos pagadores

Outra tática é usar um e-mail que simula uma nota fiscal ou confirmação de pagamento disponível para download a partir do WeTransfer. O link resulta em arquivo ZIP ou RAR, com uma senha para abrir. Adivinha o que tem dentro?

Ransomware para italianos

Outra variação se vale de uma “notificação de pagamento” – na forma de anexo de Excel. Ao tentar abrir uma janela de diálogo lhe dirá que você não pode pré-visualizar online e sugere que você clique em Habilitar edição e Habilitar conteúdo a fim de acessar as informações;

Curiosamente, esse ataque específico tem por alvo somente italianos (pelo menos até o momento). Ao clicar nos botões requeridos, você permite um script que verifica se seu computador está na Itália, dependendo da língua do administrador do sistema.

Se não, nada especial acontece. Entretanto, se você é da Itália, você tem um gostinho do senso de humor do golpista, na forma de uma imagem do Mario. Aquele do Super Mario Bros.A imagem, baixada ao clicar para ver o conteúdo do arquivo, contém o código malicioso PowerShell que inicia o download do malware.

Esta imagem do Mario possui contéudo malicioso que faz download do malware

Esta imagem do Mario possui contéudo malicioso que faz download do malware

 

No momento, pesquisadores discordam de qual malware se trata: GandCrab, que criptografa os dados, ou o Ursnif que rouba os dados bancários e credenciais de conta online. Francamente, não faz diferença; o ponto de entrega é o mesmo, embora estes também estejam em evolução constante.

Como se manter a salvo?

O GandCrab é distribuído por diversas pessoas – trata-se de um ransomware-como-serviço, desenvolvido por um time de criminosos e vendido a outros, que tentam criptografar tantos alvos quanto possível. Entretanto, apesar das diferenças nos métodos de entrega, algumas boas práticas podem protegê-lo das garras do GandCrab.

  • Ao receber um e-mail inesperado, tente garantir que a mensagem é genuína antes de abrir o anexo. Por exemplo, ligue para o remetente.
  • Sempre tenha uma forma confiável de fazer backup dos dados principais, que viabilize sua restauração em caso de emergência.
  • Use uma boa solução de segurança que garanta que nenhum ransomware infectará seu computador.


Isso deve ser suficiente para não dar de cara com o GandCrab. Mas se seu computador já foi criptografado, você ainda pode minimizar os danos:

  • Você pode reaver seus arquivos de graça – verifique se há uma ferramenta de desbloqueio no site do projeto No More Ransom. Algumas versões do ransomware GranCrab possuem falhas que permitem quebrar a criptografia. Infelizmente, nem todas as versões possuem essa possibilidade.
  • Antes de baixar e executar a ferramenta de criptografia, utilize uma solução de antivírus confiável para remover o ransomware do dispositivo. Do contrário, o malware codifica seus arquivos do sistema rapidamente.
Dicas