27 nov

Pesquisadores alertam para o ransomware Zorro

Os pesquisadores de segurança Michael Gillespie e Francesco Muroni alertaram recentemente para o ransomware Zorro, que é uma versão atualizada do ransomware Aurora.

O que é um ransomware?

Ransomware é um tipo de malware que restringe o acesso ao sistema ou certos arquivos e cobra um valor de “resgate” para que o acesso possa ser restabelecido.

Exemplos conhecidos incluem o CryptoLocker, CryptoWall, CTBLocker, CoinVault e Bitcryptor.

Ferramentas para desbloquear arquivos criptografados por este tipo de ameaça também estão disponíveis no portal No More Ransom. O portal foi lançado pela Unidade de Crime de Alta Tecnologia da Polícia Holandesa, European Cybercrime Centre (EC3) da Europol e duas empresas de cibersegurança – a Kaspersky Lab e a McAfee.

Acesse o portal clicando aqui.

Ransomware Zorro

De acordo com os pesquisadores, o ransomware Zorro aparentemente infecta os computadores via Remote Desktop Protocol. Os atacantes vasculham a internet em busca de PCs com RDP habilitado e senhas fracas.

Depois de infectar o computador da vítima, o ransomware se conecta a um servidor de comando e controle para receber novas instruções e a chave de criptografia usada para bloquear os arquivos.

Ele também se conectará ao endereço http://www.geoplugin.net/php.gp para determinar o país em que a vítima está localizada com base em seu endereço IP. Um detalhe é que se a vítima estiver na Rússia, os arquivos não serão criptografados.

Depois desta etapa, o ransomware vasculhará o computador em busca dos arquivos que serão criptografados. Os tipos de arquivos que podem ser criptografados estão listados abaixo:

1CD, doc, docx, xls, xlsx, ppt, pptx, pst, ost, msg, eml, vsd, vsdx, txt, csv, rtf, 123, wks, wk1, pdf, dwg, onetoc2, snt, jpeg, jpg, docb, docm, dot, dotm, dotx, xlsm, xlsb, xlw, xlt, xlm, xlc, xltx, xltm, pptm, pot, pps, ppsm, ppsx, ppam, potx, potm, edb, hwp, 602, sxi, sti, sldx, sldm, vdi, vmdk, vmx, gpg, aes, ARC, PAQ, bz2, tbk, bak, tar, tgz, rar, zip, backup, iso, vcd, bmp, png, gif, raw, cgm, tif, tiff, nef, psd, svg, djvu, m4u, m3u, mid, wma, flv, 3g2, mkv, 3gp, mp4, mov, avi, asf, mpeg, vob, mpg, wmv, fla, swf, wav, mp3, class, jar, java, asp, php, jsp, brd, sch, dch, dip, vbs, ps1, bat, cmd, asm, pas, cpp, suo, sln, ldf, mdf, ibd, myi, myd, frm, odb, dbf, mdb, accdb, sql, sqlitedb, sqlite3, asc, lay6, lay, mml, sxm, otg, odg, uop, std, sxd, otp, odp, wb2, slk, dif, stc, sxc, ots, ods, 3dm, max, 3ds, uot, stw, sxw, ott, odt, pem, p12, csr, crt, key, pfx e der.

Os arquivos criptografados pelo ransomware recebem a extensão .aurora. Com isso um arquivo foto.jpg será renomeado como foto.jpg.aurora depois de ser criptografado:

Enquanto criptografa os arquivos, o ransomware Zorro também criará os arquivos com o pedido de resgate em cada uma das pastas. Estes arquivos usam nomes como !-GET_MY_FILES-!.txt, #RECOVERY-PC#.txt e @_RESTORE-FILES_@.txt e incluem as instruções para o pagamento do resgate aos criminosos:

Por último, o ransomware criará o arquivo %UserProfile%wall.i, que é na verdade um arquivo .jpg que será definido como imagem de fundo para a área de trabalho do PC infectado:

A boa notícia é que os usuários que tiveram seus PCs infectados por este ransomware podem recuperar os arquivos bloqueados sem pagar o resgate. Basta seguir as instruções disponíveis aqui.