Derrotamos outro ransomware: Polyglote

Todos os dias, novas versões de ransomwares aparecem. Criadores de malwares ainda estão convictos de que ransomwares são o caminho mais fácil para o lucro, mesmo com a polícia dando

Todos os dias, novas versões de ransomwares aparecem. Criadores de malwares ainda estão convictos de que ransomwares são o caminho mais fácil para o lucro, mesmo com a polícia dando cada vez mais atenção ao problema.

Na verdade, muitas versões diferentes estão por aí, criadores de ransomwares começaram a se repetir ou copiar o trabalho uns dos outros. Por exemplo, a descoberta recente do cryptor Trojan Polyglot, ou MarsJoke, uma releitura do infame (e perigoso) ransomware CTB-Locker. Sua interface remete ao Trojan anterior absurdamente. Altera o papel de parede da vítima e assim como o CTB-Locker permite que a vítima desencripte cinco arquivos de graça como prova de que podem ser desbloqueados.

As instruções para a vítima no Polyglot também são idênticas às do CTB-Locker – o texto parece ter sido copiado e colado. Até mesmo a janela de “requisição de arquivo” que aparece caso não exista conexão com a internet é a mesma.

Os algoritmos de criptografia do Polyglot são os mesmos – e bem fortes.

O Polyglot é entregue principalmente por spam – as mensagens contêm links maliciosos que em tese levam a documentos importantes. Claro, não há documentos – apenas um executável malicioso. Uma vez instalado, o Polyglot se conecta ao servidor de comando e controle para enviar informações sobre o PC infectado e cuidar do resgate. No nosso caso, era 0,7 bitcoins -320 dólares.

Talvez a única discrepância visual entre o CTB-Locker e seu novo clone é que o MarsJoke/Polyglot deixa os arquivos encriptados com suas extensões originais, enquanto o CTB-Locker muda a extensão para .ctb1 ou ctb2.

Apesar das similaridades aparentes entre o Polyglot e o CTB-Locker, os dois são espécies de malware diferentes. Eles não compartilham quase nenhum código. Nossos especialistas acreditam que a tentativa de copiar o CTB-Locker visualmente foi uma pista falsa deixada pelos criadores do Polyglot para confundir os pesquisadores de cibersegurança.

 

Felizmente, os criadores do Polyglot cometeram um erro com o gerador de senhas, o que possibilitou que os pesquisadores da Kaspersky Lab produzissem um decryptor.

Como você deve saber, não há como desbloquear os arquivos criptografados pelo CTB-Locker sem pagar o resgate. Mas novamente, o Polyglot e o CTB-Locker não são os mesmos. E felizmente, os criadores do Polyglot cometeram uma falha com o gerador de senhas, o que possibilitou aos pesquisadores da Kaspersky Lab encontrarem a solução – uma ferramenta gratuita que pode desbloquear todos os arquivos afetados.

Para desbloquear os arquivos criptografados pelo Polyglot/MarsJoke, baixe e instale o RannohDecryptor (versão 1.9.3.0 ou mais recente) do noransom.kaspersky.com. Ele restaurará seus arquivos. Verdade seja dita, demos sorte com o Polyglot/MarsJoke. Criadores de malware estão constantemente se adaptando e melhorando suas criações. Por exemplo, depois que resolvemos o problema do CryptXXX três vezes, seus criadores melhoraram o algoritmo de uma forma que nossa ferramenta se tornou incapaz de derrotá-lo. Talvez os criadores do Polyglot consigam fazer o mesmo. Em suma, não dá para esperar que exista uma utilidade de desbloqueio para todo e qualquer ransomware que você encontre.

A melhor forma de se manter a salvo de ransomwares é pegá-los antes que comecem a fazer algo. E é aí que entra uma boa solução de segurança como o Kaspersky Internet Security. Para não se preocupar, recomendamos backups frequentes e que não abra anexos e links suspeitos.

Dicas

Como proteger a segurança doméstica

As empresas de segurança oferecem tecnologias inteligentes, principalmente câmeras, para proteger a casa contra roubos, incêndios e outros incidentes. Mas que tal proteger esses sistemas de segurança contra intrusos? É o que faremos para preencher essa lacuna.

Inscreva-se para receber nossos destaques em seu e-mail