Todos os posts tagados ransomware

Botnet Beebone derrubada por uma equipa internacional

police

Uma operação conjunta entre agências Americanas e Europeias derrubaram o que se considera uma Botnet altamente sofisticada que infectou mais de 12 mil de computadores por todo o mundo, permitindo aos piratas roubar dados bancários e outro tipo de informações sensíveis.

Foi em conjunto que agências Norte Americanas, Inglesas e da União Europeia trabalharam para confiscar o servidor que operava o Beebone (também conhecido como AAEH)

Apesar do método de operação ser semelhante a outros, o Beebone tinha características únicas que o tornavam muito difícil de detectar, quando acedia ao computador das vítimas descarregava diverso malware como ransmwares e rootkits sem o consentimento das mesmas.

O tamanho da rede não é era relevante, o problema consistia na forma como conseguia manter-se activo e o método usado para angariar cada vez mais vítimas para a sua rede, sendo um sofware polimórfico tornava muito difícil a sua detecção por antivírus.

Um facto curioso era a quantidade de vezes que se actualizava, chegando a ser 19 vezes por dia, tornando esta Botnet única neste aspecto.

Apesar do numero reduzido de infecções comparando com outras segundo a Europol existiam mais de 5 milhões de amostras num total de 23 mil computadores infectados retiradas entre os anos 2013 e 2014 espalhados por 195 países.

Até ao momento não foram encontrados os responsáveis.

Criminosos ganham cerca de 13.000 euros/mês com o CTB-Locker

ctb-locker

CTB-Locker [Curve-Tor-Bitcoin Locker] ou Critroni é um ransomware muito popular presente. Propaga-se via email spam com anexos em .zip, que contêm por sua vez um executável .scr/.cab [apenas afeta máquinas Windows].
O executável é um downloader malicioso conhecido como Dalexis [ou Elenoocka]. Caso o utilizador execute o ficheiro .scr, o Dalexis vai tentar descarregar uma cópia do CTB-Locker, armazenado em diversos websites comprometidos.

Após este processo, vai executar o CTB-Locker.
Depois da vítima estar comprometida, o CTB-Locker cifra todos os ficheiros do computador do utilizador e acrescenta 7 carateres aleatórios aos nomes dos ficheiros originais.
Posteriormente, o CTB-Locker apresenta à vítima uma mensagem de resgate e um contador decrescente para mostrar o tempo restante que a vítima tem para pagar o resgate. O malware muda inclusive o fundo-de-ecrã do sistema operativo com instruções para o pagamento.

O método de pagamento é feito exclusivamente em Bitcoins e têm valores entre os 2BTC a 4BTC (cerca de 384€ a 768€).

ctb-locker2

No Reddit, um utilizador malicioso decidiu abrir o jogo e correr uma AMA [Ask Me Anything] sobre o CTB Locker:

CTB é muito barato se adquirirmos como afiliado mas posso gastar perto de $2.000-$10.000 por mês num ek, traffic, crypter etc

Apenas tento atingir os países UK,CA,US,AU. Estou a fazer cerca de $15.000 por mês e um lucro de $8.000

Já atingi a marca de $300.000. Uma média de $1.000 por instalação

Todos estes Bitcoins recebidos pelos utilizadores maliciosos são posteriormente utilizados noutros esquemas fraudulentos ou mesmo em troca de moeda ou serviços em fóruns, como por exemplo no Hackforums.net. Aparentemente, é uma forma rápida lavar o dinheiro dos ransomware.

hackforums

Segundo o blogue F-Secure, não existe maneira de quebrar a cifra utilizada pelo CTB-Locker. A única maneira que a vítima tem de recuperar os seus ficheiros, é com backups ou recebendo a chave para recuperar os ficheiros bloqueados pelos utilizadores maliciosos. No entanto, não devem escolher esta segunda opção. Estarão alimentar o crime online e nada garante que irão ter de volta os vossos ficheiros após o pagamento. Não se esqueça que está a lidar com criminosos.

Em Portugal, o CTB-Locker continua bastante presente. Segundo a empresa antivírus ESET, é atualmente a segunda maior ameaça no nosso país.

ctb-locker3

Fonte: http://virusradar.com/statistics/10/pt

Segundo o Diário Económico, são diversas as empresas afetadas e a PJ já confirmou a existência de diversas queixas.
Na minha opinião, é algo que está ainda a crescer e os utilizadores deverão ser alertados.

Análise do CTB-Locker no VT
Análise do Payload [neste caso o Angler EK] no VT

Para proteger-se contra este tipo de ameaças, deve manter sempre o seu software atualizado [sistema operativo, antivirus, Adobe Flash, Acrobat Reader, Java, etc.] e nunca clicar em links ou anexos duvidosos.

Pode consultar mais dicas de como se proteger no blogue da ESET.

Portugal no topo das pesquisas relacionadas com o Antimalware Doctor

De acordo com o Google Insights, Portugal ocupa o 3º lugar de pesquisas de como remover o Antimalware Doctor, o que por sua vez pode significar inúmeras infecções com este malware.

Mas o que é o Antimalware Doctor?
É um programa que se auto-intitula de anti-spyware mas que na realidade é um malware.
Quando instalado, o Antimalware Doctor vai ser configurado para correr quando a vítima efectua o login no Windows. De seguida, vai pesquisar o disco rigido e detectar inúmeras infecções alertando à vitima que, apenas as remove, quando o utilizador comprar a versão completa do programa.
De referir que todas as infecções detectadas são totalmente falsas.
A infecção propriamente dita é realizada pelo próprio Antimalware Doctor.

Este tipo de software malicioso utiliza técnicas de ransomware para convencer a vítima a adquirir e a processar pagamentos para remoção das infecções. Algo que tem sido muito lucrativo para outras campanhas de falsos antivírus.

Como a maioria dos antivírus existentes, pelo menos nas versões gratuitas, não conseguem remover estes softwares maliciosos sem o uso de live CDs, aconselho a instalação da versão gratuita do MalwareBytes.
Também encontrei um guia bastante útil para quem está com dificuldades em remover o Antimalware Doctor.

Dado que o WebSegura está no topo das pesquisas em questões relacionadas com antivírus, fica aqui o alerta e a esperança de ter contribuído com a solução para muitos dos que estão de volta deste problema.

Um agradecimento especial ao @wooshiiricardo pelo link do Google Insights.