{"id":11547,"date":"2019-03-22T15:04:23","date_gmt":"2019-03-22T18:04:23","guid":{"rendered":"https:\/\/www.kaspersky.com.br\/blog\/?p=11547"},"modified":"2019-11-22T07:08:09","modified_gmt":"2019-11-22T10:08:09","slug":"gandcrab-ransomware-is-back","status":"publish","type":"post","link":"https:\/\/www.kaspersky.com.br\/blog\/gandcrab-ransomware-is-back\/11547\/","title":{"rendered":"Malware de extors\u00e3o GandCrab retorna em vers\u00e3o rom\u00e2ntica"},"content":{"rendered":"

\u201cInvadimos sua webcam e o pegamos vendo porn\u00f4. Criptografamos seus dados. Agora, queremos um resgate.\u201d Voc\u00ea pode lembrar de uma chantagem <\/a>similar que teve grande sucesso. Bem, parece que o rumor quanto ao ransomware <\/a>por tr\u00e1s dessa extors\u00e3o ter morrido era exagero.
\nO GandCrab ransomware<\/strong> est\u00e1 de volta e ativo como nunca. Seus desenvolvedores lan\u00e7am constantemente novas vers\u00f5es para n\u00e3o perderem a parcela de mercado atual <\/a>de 40% que conquistaram arduamente. Os cibercriminosos que alugam e propagam o GandCrab tamb\u00e9m se atualizam, optando por t\u00e1ticas diversas, criativas, e por vezes at\u00e9 rom\u00e2nticas para infectar as v\u00edtimas.<\/p>\n

Ransomware sentimental<\/strong><\/h3>\n

Assuntos com declara\u00e7\u00f5es de amor chamam aten\u00e7\u00e3o, mas \u201cMinha carta de amor para voc\u00ea\u201d, \u201cApaixonado por voc\u00ea\u201d, e \u201cEscrevi o que sinto por voc\u00ea\u201d podem ser o prel\u00fadio do desastre. E na proximidade do Dia dos Namorados, Natal, Ano Novo, seu anivers\u00e1rio, ou ainda em uma segunda-feira qualquer no trabalho, tal mensagem pode n\u00e3o levantar suspeitas. Como qualquer e-mail, entretanto, esse tipo \u00e9 digno de cautela.<\/p>\n

A variante mais comum de um e-mail malicioso que anda por a\u00ed atualmente possui uma frase rom\u00e2ntica como assunto, um cora\u00e7\u00e3o no corpo e um anexo \u2013 arquivo ZIP tipicamente chamado Love_You seguido de diversos d\u00edgitos. Se voc\u00ea extrai e executa o arquivo de JavaScript que vem dentro, ser\u00e1 realizado o download do GandCrab.<\/p>\n

Ent\u00e3o, voc\u00ea ser\u00e1 direcionado a uma mensagem explicando que todos os dados em seu computador foram criptografados, e poder\u00e1 pagar o resgate (provavelmente em bitcoins) a fim de recuper\u00e1-los. Se voc\u00ea n\u00e3o sabe lidar com criptomoedas, a quadrilha oferece gentilmente uma janela de chat ao vivo que ensina a comprar a quantia necess\u00e1ria para o pagamento do resgate.<\/p>\n

Ransomware para neg\u00f3cios<\/strong><\/h3>\n

Em 2017, um patch foi lan\u00e7ada para corrigir a vulnerabilidade em uma ferramenta utilizada para sincronizar dados entre dois sistemas de gerenciamento para empresas de TI. Mas nem todo mundo a instalou. Em 2019, o GandCrab tem como alvo quem n\u00e3o o fez<\/a>, criptografando todo computador que alcan\u00e7a.<\/p>\n

A falha de seguran\u00e7a permite que golpistas criem novas contas de administrador e a partir dessas emitem comandos de instala\u00e7\u00e3o do ransomware nos endpoints gerenciados. Em outras palavras, criptografam as m\u00e1quinas dos clientes da empresa atacada e demandam um pagamento (sempre em criptomoeda).<\/p>\n

Ransomware para precavidos (todos)<\/strong><\/h3>\n

Quantos de n\u00f3s abririam um anexo de e-mail se dissesse ser uma atualiza\u00e7\u00e3o do mapa da sa\u00edda de emerg\u00eancia do pr\u00e9dio em que voc\u00ea trabalha? Mesmo vinda de um endere\u00e7o completamente desconhecido? Muito provavelmente, todos n\u00f3s. No fim, poucos lembram dos gerentes de seguran\u00e7a.<\/p>\n

Os golpistas exploram essa oportunidade<\/a>, enviam e-mails maliciosos com um arquivo word anexado. Os que abrem veem o t\u00edtulo do arquivo \u2013 \u201cMapa sa\u00edda de emerg\u00eancia\u201d \u2013 e o bot\u00e3o de habilitar conte\u00fado. Se voc\u00ea clica nele, instala o GandCrab.<\/p>\n

Ransomware aos pagadores<\/strong><\/h3>\n

Outra t\u00e1tica \u00e9 usar um e-mail que simula uma nota fiscal ou confirma\u00e7\u00e3o de pagamento dispon\u00edvel para download a partir do WeTransfer. O link resulta em arquivo ZIP ou RAR, com uma senha para abrir. Adivinha o que tem dentro?<\/p>\n

Ransomware para italianos<\/strong><\/h3>\n

Outra varia\u00e7\u00e3o se vale de uma \u201cnotifica\u00e7\u00e3o de pagamento\u201d \u2013 na forma de anexo de Excel. Ao tentar abrir uma janela de di\u00e1logo lhe dir\u00e1 que voc\u00ea n\u00e3o pode pr\u00e9-visualizar online e sugere que voc\u00ea clique em Habilitar edi\u00e7\u00e3o<\/em> e Habilitar conte\u00fado <\/em>a fim de acessar as informa\u00e7\u00f5es;<\/p>\n

Curiosamente, esse ataque espec\u00edfico tem por alvo somente italianos<\/a> (pelo menos at\u00e9 o momento). Ao clicar nos bot\u00f5es requeridos, voc\u00ea permite um script que verifica se seu computador est\u00e1 na It\u00e1lia, dependendo da l\u00edngua do administrador do sistema.<\/p>\n

Se n\u00e3o, nada especial acontece. Entretanto, se voc\u00ea \u00e9 da It\u00e1lia, voc\u00ea tem um gostinho do senso de humor do golpista, na forma de uma imagem do Mario. Aquele do Super Mario Bros.A imagem, baixada ao clicar para ver o conte\u00fado do arquivo, cont\u00e9m o c\u00f3digo malicioso PowerShell que inicia o download do malware.<\/p>\n

\"Esta

Esta imagem do Mario possui cont\u00e9udo malicioso que faz download do malware<\/p><\/div>\n

\u00a0<\/p>\n

No momento, pesquisadores discordam de qual malware se trata: GandCrab<\/a>, que criptografa os dados, ou o Ursnif <\/a>que rouba <\/a>os dados banc\u00e1rios e credenciais de conta online. Francamente, n\u00e3o faz diferen\u00e7a; o ponto de entrega \u00e9 o mesmo, embora estes tamb\u00e9m estejam em evolu\u00e7\u00e3o constante.<\/p>\n

Como se manter a salvo?<\/strong><\/h3>\n

O GandCrab \u00e9 distribu\u00eddo por diversas pessoas \u2013 trata-se de um ransomware-como-servi\u00e7o, desenvolvido por um time de criminosos e vendido a outros, que tentam criptografar tantos alvos quanto poss\u00edvel. Entretanto, apesar das diferen\u00e7as nos m\u00e9todos de entrega, algumas boas pr\u00e1ticas podem proteg\u00ea-lo das garras do GandCrab.<\/p>\n