Imagine o que é ligar o seu computador e, num repente e após o primeiro choque, perceber, porque recebe uma mensagem, que todos os seus dados, o que inclui documentos, trabalho, fotos da família, músicas preferidas e vídeos mais ou menos marotos, foram encriptados e só os poderá recuperar se pagar uma determinada quantia de dinheiro em Bitcoins em parcas 72 horas? E se o não fizer, pode dizer adeus a todo o conteúdo que, outrora, foi seu.
É isto que está a acontecer a cada vez mais pessoas, através do ransomware de encriptação “Onion”, um tipo de malware que está agora a atacar através da plataforma mais usada exactamente para não se sofrer destes “azares”, a cada vez mais famosa rede “anónima” TOR (uma rede de comunicações de baixa latência que, sobreposta na internet, permite actuar sem deixar rasto, mantendo no anonimato o endereço IP e a informação que viaja por ele). A Kaspersky Labs investigou este novo processo e concluiu que o novo ransomware denomina-se, exactamente, por “Onion” e serve-se desta rede menos pública para ocultar a sua natureza maliciosa e dificultar a identificação dos autores.
Toda esta nova fórmula e técnicas, tornaram-no numa ameaça realmente perigosa e numa das encriptações mais sofisticadas actualmente, pelo que poderá tornar-se no sucessor do CryptoLocker, CryptoDefence / CryptoWall, ACCDFISA e GpCode.
Para transferir dados secretos e informação de pagamento, o Onion comunica com os servidores de comando e controlo localizados em algum lugar anónimo dentro da rede. Anteriormente, os investigadores da Kaspersky Lab já tinham visto este tipo de arquitectura de comunicações, pero só foi utilizada por algumas famílias de malware bancário, como o 64-bit ZeuS,melhorado graças ao Tor.
“Parece que o Tor se tornou num sistema eficaz para comunicações e está a ser utilizado por outro tipo de malware. Ocultar os servidores de comando e controlo na rede Tor complica a busca e detecção dos cibercriminosos, e o uso de um esquema criptográfico pouco ortodoxo faz com que seja impossível a desencriptação, mesmo se o tráfego entre o Trojan e o servidor for detectado. Tudo isto faz do Onion uma ameaça muito perigosa e uma das encriptações tecnologicamente mais avançadas que existem”, afirma Fedor Sinitsyn, analista sénior de malware da Kaspersky Lab.
Para que o Onion chegue a um dispositivo, deve primeiro passar através da rede de bots Andrómeda (Backdoor.Win32.Androm). O bot recebe um comando para descarregar e executar outra peça de malware da família Joleee no dispositivo infectado. Este último software malicioso, em seguida, descarrega o malware Onion no dispositivo. Esta é só uma das possíveis formas de distribuição do malware observadas pela Kaspersky Lab.
Distribuição geográfica
A maioria das tentativas de infecção foi registada na CEI (comunidade de estados independentes de ex-repúblicas soviéticas), mas também há casos detectados na Alemanha, Bulgária, Israel, Emiratos Árabes Unidos e Líbia. As amostras de malware mais recentes admitem a interface em idioma russo. Este facto e o número de cadeias no interior do corpo do Trojan sugerem que os criadores do malware falam russo.
Recomendações para se manter seguro
- Fazer cópia de segurança de ficheiros importantes: a cópia de segurança deve ser feita regularmente e, por outro lado, guardada em dispositivos de armazenamento aos quais possamos aceder apenas durante este processo (por exemplo, um dispositivo de armazenamento amovível que se desconecte imediatamente depois de feito o backup). Se não se seguirem estas recomendações, os ficheiros da cópia de segurança poderão ser também eles atacados e encriptados pelo ransomware da mesma forma que as versões originais dos ficheiros.
• Instalar software antivírus: a solução de segurança deve estar sempre activa e todas as suas componentes ligadas. As bases de dados da solução também devem estar actualizadas.
