Total Security - totalsecurity.com.br
Trojan Cryzip encripta dados e pede resgate
A empresa de segurança LURHQ identificou um novo trojan, cuja ação principal é encriptar dados do computador da vítima e exigir um resgate pela devolução dos mesmos.Segundo a LURHQ esta é a terceira vez que programas desse tipo aparecem. Em maio de 2005, um trojan conhecido como PGPCoder foi descoberto pela Websense Security Labs. Este trojan encriptava dados do computador e exigia um resgate pela recuperação dos dados. A função de encriptação utilizada era uma função customizada que já foi quebrada através de engenharia reversa pela LURHQ.
O novo trojan, porém, utiliza uma biblioteca comercial que guarda os arquivos em arquivos zip protegidos por senha. A encriptação Zip é mais forte do que a usada nos outros casos. A LURQH afirma, entretanto, que é possível quebrar a senha por brute-force, especialmente se existir uma cópia do arquivo original. (O que adianta descompactar o arquivo se já se tem uma cópia do original é a dúvida que permanece).
O trojan foi apelidado de Cryzip. Quando executado, o programa busca diversos arquivos no drive C: (exceto nas pastas system e system32) para serem compactados, e sobrescreve os arquivos com a frase `Erased by Zippo! GO OUT!!!`. O arquivo é então deletado, sendo deixado no seu lugar apenas um arquivo com nome do tipo nome-original-do-arquivo_CRYPT_.ZIP, onde nome-original-do-arquivo é o nome completo do arquivo original, incluindo a extensão.
Após terminar a compactação de arquivos de cada diretório, o programa deixa um arquivo de nome AUTO_ZIP_REPORT.TXT no diretório com instruções para a recuperação dos arquivos. O texto afirma que a contaminação pelo trojan ocorreu durante a visita a páginas ilegais de pornografia, e que agora os arquivos da vítima estão compactados em arquivos com senha grande suficiente para impedir que qualquer programa de ataque brute-force disponível a quebre. O texto também afirma que é desnecessário procurar o programa que encriptou os dados, já que ele teria sido apagado do computador. E termina com instruções de como depositar $300,00 numa conta do serviço e-gold. O texto ainda afirma que é inutil avisar a polícia e a gerenciadora do e-gold, já que eles não teriam como recuperar os arquivos e a conta do e-gold seria o único meio de conseguir os arquivos de volta. O texto afirma que 24hs após o pagamento, $1,00 será devolvido à conta da vítima, e junto um texto com um link para dowload de um programa que supostamente irá recuperar todos os dados.
O autor do trojan abriu diversas contas no e-gold, e uma delas é escolhida randomicamente quando o arquivo de instruções é gerado, aparentemente para que mesmo que algumas contas sejam fechadas pela gerenciadora do e-gold exista a possibilidade de que outras ainda continuem ativas.
Entretanto, o trojan tem uma falha. A senha é sempre a mesma em qualquer sistema, e segundo a LURHQ, é:
A senha foi encontrada dentro da DLL do trojan, e aparentemente o autor não se preocupou em escondê-la através de alguma técnica de encriptação. Talvez por ser uma string comum em arquivos compilados através do Visual C++ 6 o autor imaginou que ela passaria despercebida.
Propagação
O meio de propagação do trojan ainda é desconhecido. Mas a ameaça de uma contaminação em massa é pequena, até porque para obter sucesso nos seus objetivos é melhor para o autor que a distribuição não seja muito extensa. Não existe informação de que os anti-vírus detectem este trojan.
Evitar acessar páginas `suspeitas` é a melhor solução. E para as pessoas envolvidas em segurança, fica o estado de alerta, já que esta é o segundo caso do tipo em 10 meses e variantes mais perigosas podem surgir com o tempo.
TotalSecurity
O novo trojan, porém, utiliza uma biblioteca comercial que guarda os arquivos em arquivos zip protegidos por senha. A encriptação Zip é mais forte do que a usada nos outros casos. A LURQH afirma, entretanto, que é possível quebrar a senha por brute-force, especialmente se existir uma cópia do arquivo original. (O que adianta descompactar o arquivo se já se tem uma cópia do original é a dúvida que permanece).
O trojan foi apelidado de Cryzip. Quando executado, o programa busca diversos arquivos no drive C: (exceto nas pastas system e system32) para serem compactados, e sobrescreve os arquivos com a frase `Erased by Zippo! GO OUT!!!`. O arquivo é então deletado, sendo deixado no seu lugar apenas um arquivo com nome do tipo nome-original-do-arquivo_CRYPT_.ZIP, onde nome-original-do-arquivo é o nome completo do arquivo original, incluindo a extensão.
Após terminar a compactação de arquivos de cada diretório, o programa deixa um arquivo de nome AUTO_ZIP_REPORT.TXT no diretório com instruções para a recuperação dos arquivos. O texto afirma que a contaminação pelo trojan ocorreu durante a visita a páginas ilegais de pornografia, e que agora os arquivos da vítima estão compactados em arquivos com senha grande suficiente para impedir que qualquer programa de ataque brute-force disponível a quebre. O texto também afirma que é desnecessário procurar o programa que encriptou os dados, já que ele teria sido apagado do computador. E termina com instruções de como depositar $300,00 numa conta do serviço e-gold. O texto ainda afirma que é inutil avisar a polícia e a gerenciadora do e-gold, já que eles não teriam como recuperar os arquivos e a conta do e-gold seria o único meio de conseguir os arquivos de volta. O texto afirma que 24hs após o pagamento, $1,00 será devolvido à conta da vítima, e junto um texto com um link para dowload de um programa que supostamente irá recuperar todos os dados.
O autor do trojan abriu diversas contas no e-gold, e uma delas é escolhida randomicamente quando o arquivo de instruções é gerado, aparentemente para que mesmo que algumas contas sejam fechadas pela gerenciadora do e-gold exista a possibilidade de que outras ainda continuem ativas.
Entretanto, o trojan tem uma falha. A senha é sempre a mesma em qualquer sistema, e segundo a LURHQ, é:
C:Program FilesMicrosoft Visual StudioVC98
A senha foi encontrada dentro da DLL do trojan, e aparentemente o autor não se preocupou em escondê-la através de alguma técnica de encriptação. Talvez por ser uma string comum em arquivos compilados através do Visual C++ 6 o autor imaginou que ela passaria despercebida.
Propagação
O meio de propagação do trojan ainda é desconhecido. Mas a ameaça de uma contaminação em massa é pequena, até porque para obter sucesso nos seus objetivos é melhor para o autor que a distribuição não seja muito extensa. Não existe informação de que os anti-vírus detectem este trojan.
Evitar acessar páginas `suspeitas` é a melhor solução. E para as pessoas envolvidas em segurança, fica o estado de alerta, já que esta é o segundo caso do tipo em 10 meses e variantes mais perigosas podem surgir com o tempo.
TotalSecurity
Fonte:
Eu escrevi
URL Fonte: https://totalsecurity.com.br/noticia/1359/visualizar/
Comentários