Ferramentas gratuitas auxiliam vítimas de ransomware

Em todo decorrer de 2016, o ransomware, mais uma vez, demonstrou que é a maior ameaça de segurança.  Nos últimos anos, mais de 200 novas variantes de ransomware foram descobertas, e o crescimento do número de amostras dispersas dobrou.

Empenhada em lutar contra o ransomware, a Avast está lançando mais três ferramentas de decodificação de ransomware para as seguintes variedades: HiddenTear, Jigsaw e Stampado/Philadelphia. De acordo com a empresa, o cenário ideal é oferecer diversas opções (gratuitas) para que as vítimas encontrem a que funciona melhor.

As “cepas” HiddenTear, Jigsaw e Stampado/Philadelphia têm sido bastante ativas — e predominantes — nos últimos meses. As chaves de criptografia usadas, bem como os algoritmos internos, mudam muito. Isso significa que a Avast precisa atualizar suas ferramentas de descriptografia também. Portanto, há uma boa chance de que nossas soluções, ou as mais novas, ajudem as vítimas das versões mais recentes dessas linhagens de malware.

Por último, mas igualmente importante, fomos capazes de acelerar significativamente o tempo de desencriptação — mais precisamente, o processo de quebra de senha com brute force —, e, assim, algumas das variantes HiddenTear serão descriptografadas em minutos ao invés de dias. Os melhores resultados são alcançados ao decifrar arquivos diretamente na máquina infectada.

Os malwares

HiddenTear — É um dos primeiros códigos de ransomware de código aberto hospedados no GitHub e remonta a agosto de 2015. Desde então, centenas de variantes dele foram produzidas por bandidos usando o código-fonte original. O HiddenTear usa criptografia AES.

Mudanças nos nomes de arquivos: os arquivos criptografados pelo HiddenTear terão as seguintes extensões, (mas não limitadas a estas): locked, .34xxx, .bloccato, .BUGSECCCC, .Hollycrypt, .lock, .saeid, .unlockit, .razy, .mecpt, .monstro, .lok, .암호화됨, .8lock8, .fucked, .flyper, .kratos, .krypted, .CAZZO, .doomed.

Mensagem de resgate: Depois da criptografia dos arquivos, um arquivo de texto (READ_IT.txt, MSG_FROM_SITULA.txt, DECRYPT_YOUR_FILES.HTML) aparece no desktop do usuário. Várias variantes podem também exibir esta mensagem de resgate:

Jigsaw — É uma estirpe de ransomware que tem sido vista desde março de 2016. Seu nome foi inspirado no nome do personagem do filme “The Jigsaw Killer”. Várias variantes deste ransomware usam a imagem do assassino Jigsaw na tela de resgate.

Mudanças nos nomes de arquivos: os arquivos criptografados terão as seguintes extensões: .kkk, .btc, .gws, .J, .encrypted, .porno, .payransom, .pornoransom, .epic, .xyz, .versiegelt, .encrypted, .payb, .pays, .payms, .paymds, .paymts, .paymst, .payrms, .payrmts, .paymrts, .paybtcs, .fun, .hush.

Mensagem de resgate: depois da criptografia dos arquivos, uma das telas abaixo aparecerá:

Stampado — É uma estirpe ransomware escrita com o uso da ferramenta de script AutoIt. Ela está circulando desde agosto de 2016. Está sendo vendida na dark web, e variações novas continuam aparecendo. Uma de suas versões é também chamada Filadélfia.

Mudanças nos nomes de arquivos: o Stampado acrescenta a extensão “.locked” aos arquivos criptografados. Algumas Variantes também criptografam o próprio nome do arquivo, para que o nome dele possa se parecer com este – “document.docx.locked” ou 85451F3CCCE348256B549378804965CD8564065FC3F8.locked.

Mensagem de resgate: depois da criptografia dos arquivos, a tela abaixo aparecerá: