Ransomware não elimina sempre os dados

Nem todas as tecnologias usadas são absolutamente eficazes e portanto os esquemas não têm o mesmo grau de risco diz um investigador participante na Black Hat 2015.

Ransomware

Os ransomware não são todos criados de forma igual e, portanto, não deve ser universalmente temidos, defende  Engin Kirda, o co-fundador e arquitecto chefe da Lastline Labs. O investigador pretende explicar na conferência Black Hat 2015, a decorrer até dia 6 de Julho, em Las Vegas, que alguns esquemas daquele tipo fazem alegações falsas, sobre potenciais danos.

Há situações nas quais os dados podem ser recuperados mesmo depois de apagados. Por exemplo, certas famílias de ransomware usam métodos ineficazes e  “há uma boas hipóteses de recuperação”.

Infelizmente alguns, como o Cryptolocker e o Cryptowall, fazer um bom trabalho de cifra dos dados, avisa. Mas o investigador descobriu, por exemplo uma variante do Gpcode, que utiliza uma chave estática e esta pode ser recuperada.

É preciso fazer uma comparação de ficheiros encriptados face aos originais e desbloquear a cifra. O TeslaCrypt tem uma fraqueza semelhante.

Num ambiente empresarial, uma boa maneira de neutralizar o ransomware pará-lo num gateway de segurança, antes de ter a possibilidade de infectar os terminais, diz Kirda. Isso pode ser feito porque o malware tem de executar determinadas funções detectáveis, a fim de concretizar os potenciais danos.

O investigador analisou 1 359 amostras activas, observadas em acção nos  sistemas em produção (sem ser em laboratório), entre 2006 e 2014, e  daquelas, 61% eram direccionadas só para a área de trabalho.

Tem que agir repetidamente sobre ficheiros de diferentes unidades e directórios, actividade algo facilmente detectada quando uma amostra de ransomware é analisada. E o ransomware tem de se anunciar à vítima, para exigir o pagamento.

O investigador analisou 1 359 amostras activas observadas em acção nos  sistemas em produção (sem ser em laboratório), entre 2006 e 2014. Daquelas, 61% eram direccionadas só para a área de trabalho das máquinas da vítima, sem atingir documentos no sistema de ficheiros.

Usaram uma combinação de sistemas de codificação normalizados e personlizados, como a CryptoAPI em sistemas Windows. “Além do mais, todas essas bibliotecas estão amplamente disponíveis e são fáceis de usar”, recorda o investigador.




Deixe um comentário

O seu email não será publicado