KeyPass: o ransomware voraz

10 set 2018

Escrevemos recentemente um texto sobre como um livro ou módulo de jogo baixados podem estar acompanhados de algo desagradável. Ao longo dos últimos dias, temos observado um novo estudo de caso nos moldes do ransomware KeyPass, distribuído exatamente dessa maneira. Você baixa um instalador aparentemente inofensivo que faz o download de um malware.
O KeyPass é um ransomware bem confuso. Atinge computadores ao redor do mundo, sem preferências, é extremamente democrático. Ele já apareceu em mais de 20 países. Enquanto escrevia este texto, o Brasil e o Vietnã haviam sido os mais atingidos, mas foram feitas vítimas na Europa e na África também, e o malware continua a conquistar o globo.

Não faça prisioneiros, não deixe arquivos descriptografados

O KeyPass também não apresenta discernimento na hora de escolher seus arquivos-reféns. Muitas espécies de ransomware caçam documentos com extensões específicas, mas esse ignora apenas algumas pastas. Todo o resto do conteúdo do computador é transformado em qualquer coisa com a extensão .keypass. Na verdade, os arquivos não são criptografados na íntegra, apenas os primeiros 5MB de cada, mas isso não serve de consolo.

Nos diretórios “processados”, o malware deixa um bilhete em formato TXT no qual seus criadores exigem (em inglês bastante ruim) que as vítimas comprem um programa e uma chave individual para recuperação de arquivos. Para convencê-las de que não é apenas um desperdício de dinheiro, são convidadas a enviar de 1 a 3 arquivos para os criminosos quebrarem a criptografia gratuitamente.
Os cibercriminosos exigem U$300 para devolver os arquivos, com o aviso de que esse preço é válido apenas pelas primeiras 72 horas após a infecção. Para instruções detalhadas sobre como recuperar os documentos, deve-se entrar em contato por meio de um dos dois endereços de e-mail e enviar sua identificação conforme especificado no bilhete. Contudo, recomendamos que não pague o resgate.

Uma característica peculiar do KeyPass é que, por alguma razão, o computador não está conectado à Internet quando o malware começa a trabalhar, então o vírus não pode recuperar a chave de criptografia pessoal do servidor C&C. Nesse caso, usa uma chave de codificação rígida, o que significa que os arquivos podem ser descriptografados sem qualquer problema; a chave já está à mão. Infelizmente, em outros casos, você não vai se safar tão fácil: apesar da implementação bastante simples, os cibercriminosos não cometeram erros na criptografia.

Nos casos que conhecemos, o malware agiu automaticamente, mas seus criadores também forneceram uma opção de controle manual. Eles contam com que o KeyPass seja distribuído manualmente – ou seja, planejam usá-lo para ataques direcionados. Se os cibercriminosos conseguirem se conectar ao computador da vítima remotamente e colocar o ransomware lá, pressionar uma chave específica vai mostrar um formulário no qual podem modificar as configurações de encriptação, incluindo a lista de pastas que o KeyPass ignora, mais o texto do bilhete de resgate e a chave privada.

Como proteger seu computador do ransomware KeyPass

Uma ferramenta para descriptografar arquivos atingidos pelo KeyPass ainda precisa ser desenvolvida, então a única maneira de proteger seus dados é evitar proativamente a infecção. Bem, é sempre melhor prevenir do que remediar; lidar com as consequências de ser negligente demanda muito mais tempo e esforço do que evitá-las no início. Dessa forma, recomendamos algumas medidas simples, que são igualmente eficazes para o KeyPass, para se proteger contra todos os ransomwares:

  • Nunca baixe programas desconhecidos de sites duvidosos ou clique em links se tiver qualquer mínima suspeita. Isso vai ajudá-lo a evitar a maioria dos malwares que estão vagando na web.
  • Faça backup de todos os arquivos importantes. Confira esse post para saber tudo sobre o assunto.
  • Utilize uma solução de segurança confiável que identifica e bloqueia programas suspeitos antes que possam prejudicar seu computador. As soluções de segurança da Kaspersky Lab, por exemplo, incluem um módulo antirransomware.