O DeriaLock apareceu pela primeira vez a 24 de dezembro de 2016 mas, nas primeiras horas, apenas tomava o controlo do ecrã da vítima e impedia o acesso ao computador. Em seguida, este malware evoluiu e passou a ter um mecanismo de encriptação de ficheiros e a ameaçar os utilizadores com a sua eliminação total se tentassem reiniciar os seus equipamentos. O pedido de regate é de 30 dólares, um preço relativamente abaixo das outras famílias de ransomware ativas.
A equipa de investigadores da Check Point também descobriu uma nova ameaça na forma de um script PHP que encripta os ficheiros da vítima mas que não é considerado exatamente um ransomware.
Este script não apresenta nenhuma nota de resgate, não tenta comunicar com um servidor de comando e controlo, o que geralmente permite rastrear o número de máquinas infetadas, descarregar executáveis ou realizar outras atividades malignas.
O PHP Ransomware procura ficheiros com uma das seguintes extensões:
zip, rar, r00 ,r01 ,r02 ,r03, 7z, tar, gz, gzip, arc, arj, bz, bz2, bza, bzip ,bzip2, ice, xls, xlsx, doc, docx, pdf ,djvu ,fb2,rtf, ppt, pptx, pps, sxi, odm, odt, mpp, ssh, pub, gpg, pgp, kdb, kdbx, als, aup, cpr, npr, cpp, bas, asm, cs, php, pas, class, py, pl, h, vb ,vcproj, vbproj, java, bak, backup, mdb, accdb, mdf, odb, wdb, csv, tsv, sql, psd, eps, cdr, cpt, indd, dwg, ai, svg, max, skp, scad, cad, 3ds, blend, lwo, lws, mb, slddrw, sldasm, sldprt, u3d, jpg, jpeg, tiff, tif, raw, avi, mpg, mp4, m4v, mpeg, mpe, wmf, wmv, veg, mov, 3gp, flv, mkv, vob, rm, mp3, wav, asf, wma, m3u, midi, ogg, mid, vdi, vmdk, vhd, dsk, img, iso
Se encontra um desses ficheiros, o script muda as permissões de acesso e encripta-os adicionando “.crypted” ao nome. O PHP Ransomware vê apenas os primeiros 2048 bytes do ficheiro, assim, só ficheiros menores a 2MB são totamente encriptados.
Para aceder às ferramentas de desencriptação destas ameaças basta ir ao blogue da Check Point e descarregar os desencriptadores e as instruções de uso. Antes de iniciar o processo, a empresa de segurança recomenda que se faça uma cópia de segurança ao disco rígido.
A Check Point é parceira do projeto No More Ransom (NMR), cujo objetivo é lutar contra a epidemia do sequestro digital, disponibilizando, por isso mesmo, as suas ferramentas de desencriptação de forma pública e gratuita.
Com o lançamento de KATA 7.0, as organizações podem agora beneficiar de capacidades melhoradas de…
Novos monitores Predator X32 X2 e X27U X1 oferecem imagens de jogo nítidas, com uma…
Adolfo Martinho sucede a Manuel Maria Correia, que liderou a empresa em Portugal desde a…
A Kaspersky descobriu centenas de repositórios de código aberto infetados com malware multifacetado, dirigidos a…
O Researcher e o Analyst vão começar a ser disponibilizados para clientes com licença do…
Ao longo da sua carreira, Ricardo Morais assumiu responsabilidades em gestão de clientes e desenvolvimento…