Empresa de segurança decifra ransomware que criptografa arquivos do sistema infectado

A Kaspersky Lab conseguiu decifrar o CryptXXX, ransomware que bloqueia arquivos, copia dados e rouba Bitcoins dos dispositivos Windows das vítimas. Essa ameaça é disseminada por meio de mensagens de spam que contêm anexos infectados ou links para sites maliciosos, como páginas web que hospedam o kit de exploits (EK) Angler.

Quando executado, o ransomware criptografa os arquivos do sistema infectado e acrescenta uma extensão .crypt aos nomes dos arquivos. As vítimas são informadas de que seus arquivos foram bloqueados pelo algoritmo de criptografia RSA-4096 e é exigido um resgate em bitcoins para liberar os dados.

Segundo a empresa, existem atualmente mais de 50 famílias de ransomware em atividade, mas não há um algoritmo universal para combater a ameaça ou o impacto desses ataques. No entanto, no caso do CryptXXX, a demanda dos criminosos com o RSA-4096 acabou tornando-se apenas uma ameaça, já que a Kaspersky Lab conseguiu desenvolver uma ferramenta de descriptografia para recuperar os arquivos bloqueados, que está disponível gratuitamente no site da empresa. Mesmo não sendo o alvo desses malware, a empresa registrou mais de 160 tentativas de infecção no Brasil no último mês.

Fedor Sinitsyn, analista sênior de segurança da Kaspersky Lab, foi quem criou a solução contra o CryptXXX. Com a tecnologia, diz, vítimas podem ter a certeza de que, mesmo que o CryptXXX tenha conseguido infectar o sistema, ainda é possível recuperar os arquivos sem pagar o resgate. Para descriptografar os arquivos afetados, a vítima precisa da versão original (não criptografada) de pelo menos um arquivo afetado pelo CryptXXX.

Para se proteger de uma infecção por ransomware, os usuários devem seguir as seguintes dicas:

2) Instalar todas as atualizações críticas do sistema operacional e dos navegadores. O kit de exploits Angler usado pelo CryptXXX explora as vulnerabilidades de software para baixar e instalar o ransomware