Um novo programa de ransomware chamado Cryptorbit, que é semelhante ao Cryptolocker e CryptodeFense, está sendo instalado em computadores Windows por meio de atualizações falsas e outras táticas de engenharia social, avisa Stu Sjouwerman, CEO da empresa de treinamento de conscientização sobre segurança Knowbe4.
O malware, também conhecido como HowDecrypt, se apresenta na forma de um programa de atualização flash ou antivírus, que os usuários inocentes podem instalar acreditando que é uma atualização legítima do Adobe ou um programa antivírus. Em seguida, ele corrompe os primeiros 512 ou 1024 bytes de qualquer arquivo de dados que encontrar, independentemente da extensão do arquivo, e apenas descriptografará os arquivos após o pagamento de US € 500 em Bitcoin, de acordo com Sjouwerman.
"Para acrescentar insulto à lesão, os cibercrimários também estão instalando o chamado software de mineiro de criptocoin que utiliza o computador da vítima para extrair moedas digitais como o Bitcoin, que será depositado na carteira digital do desenvolvedor de malware, tornando-os ainda mais dinheiro", disse o dinheiro ", disse que será depositado na carteira digital do desenvolvedor de malware, tornando-os ainda mais dinheiro", disse o dinheiro ", disse que será depositado na carteira digital do desenvolvedor de malware, tornando-os ainda mais dinheiro" Sjouwerman em seu post no blog. O Cryptorbit também tem a capacidade de ignorar as configurações de política do grupo projetadas para proteger contra ataques semelhantes de ransomware.
Bleepingcomputer.com relatada Uma vez que os arquivos são criptografados em um computador, o malware cria dois arquivos em cada pasta onde um arquivo foi criptografado, "HowDecrypt.txt" e "HowDecrypt.gif". Em cada arquivo, são instruções sobre como acessar o site de pagamento para que um usuário possa enviar o resgate. O site de pagamento é acessível apenas através da rede Tor, visitando 4SFXCTGP53IMLVZK.ONION, e o resgate só pode ser pago no Bitcoin.
A seguir, alguns endereços de Bitcoin que se acredita estarem associados ao Cryptorbit, que receberam um total de ~ 40 Bitcoins:
https://blockchain.info/address/15JTKDkU4U6Tn5MBc9Pt52mMzXDmvmaanR
https://blockchain.info/address/12GZoiAdcUubEwtArg1MApKB5uazpVneih
https://blockchain.info/address/1CgMiXHjLFUM3E79USnVM5Sikf5j9gTdXy
https://blockchain.info/address/17FSkXDULjtK6R9G3cpwmLMYbWRZJ9c8vZ
E não espere que seu software antivírus captura o Cryptorbit. Brian Dye, vice -presidente sênior de segurança da informação na empresa de segurança Symantec, chamado Software antivírus comercial "morto". O Dye estima que o software antivírus capta apenas 45 % dos ataques e deixa os usuários vulneráveis.
Existem algumas opções de recuperação para aquelas infectadas com o Cryptorbit, incluindo um programa chamado DecrypterFixer, projetado para ajudar na restauração de arquivos criptografados. A primeira etapa da recuperação é usar a função Restauração do sistema, que usa cópias de sombra dos arquivos para restaurar as versões anteriores dos arquivos de computador antes de serem criptografados. Para que isso funcione, a função Restauração do sistema deve ter sido ativada e executada pelo menos uma vez antes da criptografia.
A outra opção é instalar um programa chamado Decrypterfixer, criado por Nathan Scott, que pode recuperar arquivos corrompidos do PST, JPG, PDF, MP3, DOC e XLS.
BleepingComputer.com explica aqui Como usar versões anteriores do Windows nativas, Shadow Explorer ou DecrypterFixer para restaurar arquivos e pastas.
Sjouwerman oferece os seguintes conselhos sobre como evitar se tornar uma vítima do ransomware de cripto -bobo:
1) Backup, backup, backup e teste seu procedimento de restauração regularmente.
2) Não confie apenas no antivírus, pois normalmente corre 6 horas atrás de ataques como esse, o suficiente para os bandidos entrarem e causar estragos. Veja o Virus Bulletin's informações de teste.
3) Não abra nada suspeito. Use cuidados extras para evitar links e anexos de phishing. Se você não solicitou, não abra.
4) Se você for vítima de criptobit, limpe a (s) máquina (s) infectada (s), reconstrua desde o início e restaure os arquivos do backup mais recente. Se não houver backups, tente restaurar os arquivos das cópias de volume de sombra. Se estes não estiverem disponíveis, você pode tentar um utilitário chamado DecrypterFixer escrito por Nathan Scott.
