{"id":10774,"date":"2018-09-10T18:36:58","date_gmt":"2018-09-10T21:36:58","guid":{"rendered":"https:\/\/www.kaspersky.com.br\/blog\/?p=10774"},"modified":"2018-09-10T18:39:15","modified_gmt":"2018-09-10T21:39:15","slug":"keypass-ransomware","status":"publish","type":"post","link":"https:\/\/www.kaspersky.com.br\/blog\/keypass-ransomware\/10774\/","title":{"rendered":"KeyPass: o ransomware voraz"},"content":{"rendered":"

Escrevemos recentemente um texto sobre como um livro ou m\u00f3dulo de jogo baixados podem estar acompanhados<\/a> de algo desagrad\u00e1vel. Ao longo dos \u00faltimos dias, temos observado um novo estudo de caso nos moldes do ransomware<\/a><\/u> KeyPass, distribu\u00eddo exatamente dessa maneira. Voc\u00ea baixa um instalador aparentemente inofensivo que faz o download de um malware.
\n\"\"O KeyPass<\/a><\/u> \u00e9 um ransomware bem confuso. Atinge computadores ao redor do mundo, sem prefer\u00eancias, \u00e9 extremamente democr\u00e1tico. Ele j\u00e1 apareceu em mais de 20 pa\u00edses. Enquanto escrevia este texto, o Brasil e o Vietn\u00e3 haviam sido os mais atingidos, mas foram feitas v\u00edtimas na Europa e na \u00c1frica tamb\u00e9m, e o malware continua a conquistar o globo.<\/p>\n

N\u00e3o fa\u00e7a prisioneiros, n\u00e3o deixe arquivos descriptografados<\/strong><\/h3>\n

O KeyPass tamb\u00e9m n\u00e3o apresenta discernimento na hora de escolher seus arquivos-ref\u00e9ns. Muitas esp\u00e9cies de ransomware ca\u00e7am documentos com extens\u00f5es espec\u00edficas, mas esse ignora apenas algumas pastas. Todo o resto do conte\u00fado do computador \u00e9 transformado em qualquer coisa com a extens\u00e3o .keypass<\/em>. Na verdade, os arquivos n\u00e3o s\u00e3o criptografados na \u00edntegra, apenas os primeiros 5MB de cada, mas isso n\u00e3o serve de consolo.<\/p>\n

Nos diret\u00f3rios \u201cprocessados\u201d, o malware deixa um bilhete em formato TXT no qual seus criadores exigem (em ingl\u00eas bastante ruim) que as v\u00edtimas comprem um programa e uma chave individual para recupera\u00e7\u00e3o de arquivos. Para convenc\u00ea-las de que n\u00e3o \u00e9 apenas um desperd\u00edcio de dinheiro, s\u00e3o convidadas a enviar de 1 a 3 arquivos para os criminosos quebrarem a criptografia gratuitamente.
\nOs cibercriminosos exigem U$300 para devolver os arquivos, com o aviso de que esse pre\u00e7o \u00e9 v\u00e1lido apenas pelas primeiras 72 horas ap\u00f3s a infec\u00e7\u00e3o. Para instru\u00e7\u00f5es detalhadas sobre como recuperar os documentos, deve-se entrar em contato por meio de um dos dois endere\u00e7os de e-mail e enviar sua identifica\u00e7\u00e3o conforme especificado no bilhete. Contudo,\u00a0recomendamos que n\u00e3o pague o resgate<\/a><\/u>.<\/p>\n

Uma caracter\u00edstica peculiar do KeyPass \u00e9 que, por alguma raz\u00e3o, o computador n\u00e3o est\u00e1 conectado \u00e0 Internet quando o malware come\u00e7a a trabalhar, ent\u00e3o o v\u00edrus n\u00e3o pode recuperar a chave de criptografia pessoal do servidor C&C. Nesse caso, usa uma chave de codifica\u00e7\u00e3o r\u00edgida, o que significa que os arquivos podem ser descriptografados sem qualquer problema; a chave j\u00e1 est\u00e1 \u00e0 m\u00e3o. Infelizmente, em outros casos, voc\u00ea n\u00e3o vai se safar t\u00e3o f\u00e1cil: apesar da implementa\u00e7\u00e3o bastante simples, os cibercriminosos n\u00e3o cometeram erros na criptografia.<\/p>\n

Nos casos que conhecemos, o malware agiu automaticamente, mas seus criadores tamb\u00e9m forneceram uma op\u00e7\u00e3o de controle manual. Eles contam com que o KeyPass seja distribu\u00eddo manualmente \u2013 ou seja, planejam us\u00e1-lo para ataques direcionados. Se os cibercriminosos conseguirem se conectar ao computador da v\u00edtima remotamente e colocar o ransomware l\u00e1, pressionar uma chave espec\u00edfica vai mostrar um formul\u00e1rio no qual podem modificar as configura\u00e7\u00f5es de encripta\u00e7\u00e3o, incluindo a lista de pastas que o KeyPass ignora, mais o texto do bilhete de resgate e a chave privada.<\/p>\n

Como proteger seu computador do ransomware KeyPass<\/strong><\/h3>\n

Uma ferramenta para descriptografar arquivos atingidos pelo KeyPass ainda precisa ser desenvolvida, ent\u00e3o a \u00fanica maneira de proteger seus dados \u00e9 evitar proativamente a infec\u00e7\u00e3o. Bem, \u00e9 sempre melhor prevenir<\/a> do que remediar; lidar com as consequ\u00eancias de ser negligente demanda muito mais tempo e esfor\u00e7o do que evit\u00e1-las no in\u00edcio. Dessa forma, recomendamos algumas medidas simples, que s\u00e3o igualmente eficazes para o KeyPass, para se proteger contra todos os ransomwares:<\/p>\n