A Kaspersky Lab conseguiu decifrar o
CryptXXX,
ransomware que bloqueia arquivos, copia dados e rouba Bitcoins dos dispositivos Windows das vítimas. Essa ameaça é disseminada por meio de mensagens de spam que contêm anexos infectados ou links para sites maliciosos, como páginas web que hospedam o kit de exploits (EK) Angler.
Quando executado, o ransomware criptografa os arquivos do sistema infectado e acrescenta uma extensão .crypt aos nomes dos arquivos. As vítimas são informadas de que seus arquivos foram bloqueados pelo algoritmo de criptografia RSA-4096 e é exigido um
resgate em bitcoins para liberar os dados.
Segundo a empresa, existem atualmente mais de 50 famílias de ransomware em atividade, mas não há um algoritmo universal para combater a ameaça ou o impacto desses ataques. No entanto, no caso do CryptXXX, a demanda dos criminosos com o RSA-4096 acabou tornando-se apenas uma ameaça, já que a Kaspersky Lab conseguiu desenvolver uma ferramenta de descriptografia para recuperar os arquivos bloqueados, que está disponível gratuitamente no site da empresa. Mesmo não sendo o alvo desses malware, a empresa registrou mais de 160 tentativas de infecção no Brasil no último mês.
Fedor Sinitsyn, analista sênior de segurança da Kaspersky Lab, foi quem criou a solução contra o CryptXXX. Com a tecnologia, diz, vítimas podem ter a certeza de que, mesmo que o CryptXXX tenha conseguido infectar o sistema, ainda é possível recuperar os arquivos sem pagar o resgate. Para descriptografar os arquivos afetados, a vítima precisa da versão original (não criptografada) de pelo menos um arquivo afetado pelo CryptXXX.
Para se proteger de uma infecção por ransomware, os usuários devem seguir as seguintes dicas:
1) Realizar backups regularmente
2) Instalar todas as atualizações críticas do sistema operacional e dos navegadores. O kit de exploits Angler usado pelo CryptXXX explora as vulnerabilidades de software para baixar e instalar o ransomware
3) Implementar uma solução de segurança