Quarta, 27 Outubro 2021

​Tipos de ransomware - parte II

Em 2017, o Bad Rabbit foi um ataque de ransomware que se deu por meio dos chamados ataques de execução, que se aproveitaram de sites inseguros, nos quais o usuário visita estes sites sem saber que estão comprometidos por hackers, e se torna apenas necessário que o usuário abra um destes sites para a infecção.

Esta é a característica dos ataques de execução, mas neste do Bad Rabbit, a execução de um instalador vinha com um malware disfarçado para realizar a infecção, que é denominado dropper de malware. O Bad Rabbit, então, solicitava a instalação falsa do Adobe Flash e, com isso, infectava o computador do usuário que obedecia a esta solicitação.

Em 2018, ocorreu o caso de um Cavalo de Troia de criptografia de nome Ryuk, que realizou um ataque que desabilitou a função de recuperação dos sistemas operacionais Windows, e quem não tivesse um backup externo, ficou impossibilitado de restaurar os dados criptografados, e este Ryuk também atingiu os discos rígidos de rede, que foram criptografados. Em 2015, o ataque do ransomware chamado Shade ou Troldesh se disseminou por e-mails de spam que possuíam links ou anexos de arquivos infectados.

Em 2016, teve o ataque chamado Jigsaw, que vinha com a imagem do fantoche da franquia do filme Jogos Mortais, e este Jigsaw fazia com que a cada hora adicional sem o pagamento do resgate de dados, estes fossem sendo apagados cada vez mais, e ainda tinha o efeito psicológico da imagem relacionada ao filme.

O caso do CryptoLocker, por sua vez, surgiu em 2007, se disseminando por anexos de e-mails infectados, e a contaminação de um computador criptografava seus dados. A conta feita foi que este ransomware infectou cerca de 500 mil computadores.

O controle de computadores domésticos hackeados foi obtido por autoridades legais e empresas de segurança, foi feita a interceptação de dados enviados pela rede sem que os criminosos soubessem e foi criado um portal online em que as vítimas do ransomware podiam obter uma chave de desbloqueio de dados, ou seja, sem a necessidade de pagamento de resgate aos criminosos.

O GandCrab, por sua vez, atacou via ameaça de revelar os hábitos pornográficos de suas vítimas, pois o ransomware afirmava ter hackeado a webcam da vítima exigindo resgate, a ameaça era de publicar as imagens constrangedoras da vítima caso o resgate não fosse pago. Com iniciativa do No More Ransom, provedores de segurança e autoridades policiais conseguiram desenvolver uma ferramenta de descriptografia para que as vítimas recuperassem os dados privados roubados pelo GandCrab.

Já o B0r0nt0k atacou o Windows e o Linux. No caso do Linux, este ransomware criptografa seus arquivos e anexa a extensão de arquivo ".rontok". Este ransomware tanto ameaça os arquivos como também altera configurações de inicialização, desabilita funções e aplicativos, e ainda adiciona arquivos, programas e entradas de registro.

Em 2016, por sua vez, foi detectado o ransomware chamado Apocalypse, este criptografava arquivos, mudando suas extensões para .encrypted, .FuckYourData, .locked, .Encryptedfile, ou .SecureCrypted. O Apocalypse também criava novos arquivos de texto que vinham com as informações dos meios de resgate dos dados.

O Badblock surgiu em 2016 e renomeava os arquivos criptografados, e criava um arquivo novo em formato html para passar as instruções de resgate de dados. Em 2016, também surgiu o Bart, este ransomware adicionava aos computadores infectados a extensão bart.zip, e solicitava senha para desbloqueio, e o papel de parede da vítima era substituído por um outro com as instruções para o resgate de dados.

O Cript888, que era também conhecido como Mircop, também surgiu em 2016 e adicionava o nome Lock. no início dos arquivos criptografados, e o papel de parede da vítima é substituído por um novo com várias imagens com as instruções de resgate de dados. O Legion, por sua vez, adicionava os termos ._23-06-2016-20-27-23_$$.legion ou .$$.cbf no fim dos arquivos infectados, também mudando o papel de parede da vítima e adicionando um pop-up que informava que os dados estavam criptografados.

O SZF Locker surgiu em 2016 e adicionava a extensão .szf no final dos arquivos infectados, e quando a vítima tentava abrir um destes arquivos, aparecia uma mensagem em polonês com instruções para o resgate dos dados. O Teslacript é um ransomware de um formato mais antigo, surgiu em 2015, não renomeava os arquivos, apenas exibia uma mensagem com instruções de resgate de dados.

Dos novos ransomwares, tem o Brrr, um ransomware Dharma, que é instalado manualmente e invade desktops conectados à internet, e quando é ativado pelo hacker passa a criptografar os arquivos, e estes recebem a extensão ".id-[id].[email].brrr". E ainda o FAIR RANSOMWARE, que criptografa dados, com um algoritmo forte, e os arquivos recebem a extensão ".FAIR RANSOMWARE".

Já o MADO criptografa dados e adiciona a extensão ".mado", o que impossibilita que tais arquivos sejam abertos. O ransomware WordPress, por sua vez, tem como mira os arquivos do site WordPress, dando prioridade aos mais populares, exigindo pagamento para o resgate de dados.

(continua)

Gustavo Bastos, filósofo e escritor.
Blog
: http://poesiaeconhecimento.blogspot.com

Veja mais notícias sobre Colunas.

Veja também:

 

Comentários:

Nenhum comentário feito ainda. Seja o primeiro a enviar um comentário
Visitante
Quarta, 27 Outubro 2021

Ao aceitar, você acessará um serviço fornecido por terceiros externos a https://www.seculodiario.com.br/