{"id":6607,"date":"2016-10-06T00:55:16","date_gmt":"2016-10-05T21:55:16","guid":{"rendered":"https:\/\/kasperskydaily.com\/brazil\/?p=6607"},"modified":"2019-11-22T07:30:13","modified_gmt":"2019-11-22T10:30:13","slug":"polyglot-decryptor","status":"publish","type":"post","link":"https:\/\/www.kaspersky.com.br\/blog\/polyglot-decryptor\/6607\/","title":{"rendered":"Derrotamos outro ransomware: Polyglote"},"content":{"rendered":"

Todos os dias, novas vers\u00f5es de ransomwares aparecem. Criadores de malwares ainda est\u00e3o convictos de que ransomwares<\/a> s\u00e3o o caminho mais f\u00e1cil para o lucro, mesmo com a pol\u00edcia dando cada vez mais aten\u00e7\u00e3o ao problema.<\/p>\n

Na verdade, muitas vers\u00f5es diferentes est\u00e3o por a\u00ed, criadores de ransomwares come\u00e7aram a se repetir ou copiar o trabalho uns dos outros. Por exemplo, a descoberta recente do cryptor Trojan Polyglot<\/a>, ou MarsJoke, uma releitura do infame (e perigoso) ransomware CTB-Locker<\/a>. Sua interface remete ao Trojan anterior absurdamente. Altera o papel de parede da v\u00edtima e assim como o CTB-Locker permite que a v\u00edtima desencripte cinco arquivos de gra\u00e7a como prova de que podem ser desbloqueados.<\/p>\n

As instru\u00e7\u00f5es para a v\u00edtima no Polyglot tamb\u00e9m s\u00e3o id\u00eanticas \u00e0s do CTB-Locker \u2013 o texto parece ter sido copiado e colado. At\u00e9 mesmo a janela de \u201crequisi\u00e7\u00e3o de arquivo\u201d que aparece caso n\u00e3o exista conex\u00e3o com a internet \u00e9 a mesma.<\/p>\n

\"\"<\/p>\n

Os algoritmos de criptografia do Polyglot s\u00e3o os mesmos \u2013 e bem fortes.<\/p>\n

O Polyglot \u00e9 entregue principalmente por spam \u2013 as mensagens cont\u00eam links maliciosos que em tese levam a documentos importantes. Claro, n\u00e3o h\u00e1 documentos \u2013 apenas um execut\u00e1vel malicioso. Uma vez instalado, o Polyglot se conecta ao servidor de comando e controle para enviar informa\u00e7\u00f5es sobre o PC infectado e cuidar do resgate. No nosso caso, era 0,7 bitcoins -320 d\u00f3lares.<\/p>\n

Talvez a \u00fanica discrep\u00e2ncia visual entre o CTB-Locker e seu novo clone \u00e9 que o MarsJoke\/Polyglot deixa os arquivos encriptados com suas extens\u00f5es originais, enquanto o CTB-Locker muda a extens\u00e3o para .ctb1 ou ctb2.<\/p>\n

Apesar das similaridades aparentes entre o Polyglot e o CTB-Locker, os dois s\u00e3o esp\u00e9cies de malware diferentes. Eles n\u00e3o compartilham quase nenhum c\u00f3digo. Nossos especialistas acreditam que a tentativa de copiar o CTB-Locker visualmente foi uma pista falsa deixada pelos criadores do Polyglot para confundir os pesquisadores de ciberseguran\u00e7a.<\/p>\n

\"\"\u00a0<\/em><\/p>\n

Felizmente, os criadores do Polyglot cometeram um erro com o gerador de senhas, o que possibilitou que os pesquisadores da Kaspersky Lab produzissem um decryptor.<\/div>\n

Como voc\u00ea deve saber, n\u00e3o h\u00e1 como desbloquear os arquivos criptografados pelo CTB-Locker sem pagar o resgate. Mas novamente, o Polyglot e o CTB-Locker n\u00e3o s\u00e3o os mesmos. E felizmente, os criadores do Polyglot cometeram uma falha com o gerador de senhas, o que possibilitou aos pesquisadores da Kaspersky Lab encontrarem a solu\u00e7\u00e3o \u2013 uma ferramenta gratuita que pode desbloquear todos os arquivos afetados.<\/p>\n

Para desbloquear os arquivos criptografados pelo Polyglot\/MarsJoke, baixe e instale o RannohDecryptor (vers\u00e3o 1.9.3.0 ou mais recente) do noransom.kaspersky.com<\/u><\/a>. Ele restaurar\u00e1 seus arquivos. Verdade seja dita, demos sorte com o Polyglot\/MarsJoke. Criadores de malware est\u00e3o constantemente se adaptando e melhorando suas cria\u00e7\u00f5es. Por exemplo, depois que resolvemos o problema do CryptXXX tr\u00eas vezes, seus criadores melhoraram o algoritmo de uma forma que nossa ferramenta se tornou incapaz de derrot\u00e1-lo. Talvez os criadores do Polyglot consigam fazer o mesmo. Em suma, n\u00e3o d\u00e1 para esperar que exista uma utilidade de desbloqueio para todo e qualquer ransomware que voc\u00ea encontre.<\/p>\n

A melhor forma de se manter a salvo de ransomwares \u00e9 peg\u00e1-los antes que comecem a fazer algo. E \u00e9 a\u00ed que entra uma boa solu\u00e7\u00e3o de seguran\u00e7a como o Kaspersky Internet Security<\/a>. Para n\u00e3o se preocupar, recomendamos backups frequentes e que n\u00e3o abra anexos e links suspeitos.<\/p>\n","protected":false},"excerpt":{"rendered":"

Todos os dias, novas vers\u00f5es de ransomwares aparecem. Criadores de malwares ainda est\u00e3o convictos de que ransomwares s\u00e3o o caminho mais f\u00e1cil para o lucro, mesmo com a pol\u00edcia dando<\/p>\n","protected":false},"author":696,"featured_media":6608,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[1260,14,45],"tags":[949,1042,1041,83],"class_list":{"0":"post-6607","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-threats","8":"category-news","9":"category-special-projects","10":"tag-cryptxxx","11":"tag-noransom","12":"tag-polyglot","13":"tag-ransomware"},"hreflang":[{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/polyglot-decryptor\/6607\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/polyglot-decryptor\/7736\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/polyglot-decryptor\/7743\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/polyglot-decryptor\/7790\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/polyglot-decryptor\/9217\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/polyglot-decryptor\/9075\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/polyglot-decryptor\/13245\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/polyglot-decryptor\/2479\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/polyglot-decryptor\/13138\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/polyglot-decryptor\/6119\/"},{"hreflang":"pl","url":"https:\/\/plblog.kaspersky.com\/polyglot-decryptor\/5468\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/polyglot-decryptor\/8841\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/polyglot-decryptor\/12751\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/polyglot-decryptor\/13245\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/polyglot-decryptor\/13138\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/polyglot-decryptor\/13138\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.com.br\/blog\/tag\/cryptxxx\/","name":"CryptXXX"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/6607","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/users\/696"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/comments?post=6607"}],"version-history":[{"count":2,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/6607\/revisions"}],"predecessor-version":[{"id":13127,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/6607\/revisions\/13127"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/media\/6608"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/media?parent=6607"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/categories?post=6607"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/tags?post=6607"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}