Converge Comunicações -

RSS Feed Compartilhe TI INSIDE Online no Facebook Compartilhe TI INSIDE Online no Twitter Compartilhe TI INSIDE Online no Google+ Compartilhe TI INSIDE Online no Linkedin

Trend Micro afirma que Brasil é o segundo país mais afetado por ransomware

Postado em: 03/11/2014, às 14:40 por Redação

Especialistas da Trend Micro observaram uma nova variante de ransomware, o TorrentLocker, atingiu cerca de 4 mil organizações e empresas italianas. O TorrentLocker é semelhante a uma família de ransomware anterior, o CryptoLocker, e também criptografa vários arquivos, obrigando os usuários a pagarem uma quantia em dinheiro como resgate dos arquivos. O TorrentLocker usa a TOR, rede que permite o anonimato, para esconder seu tráfego.

A ameaça utilizou um e-mail de spam escrito em italiano e com diversos modelos como parte de suas táticas de engenharia social. Traduzidas, as mensagens diziam:

Sua pergunta foi feita no fórum em {dia}/{mês}/{ano} {horário}. Para a resposta detalhada por favor consulte o seguinte endereço: {link malicioso}
Ele enviou uma conta que já teria pago antes {dia}/{mês}/{ano}. Maiores detalhes podem ser encontrados em: {link malicioso}

O seu pedido foi iniciado e aguarda a revisão do pagamento {link malicioso}

Trend1

 

 

 

 

Figura 1. Amostra do e-mail de spam

Todas as mensagens contêm um link que aponta para um arquivo ".zip". Ao ser descomprimido, o arquivo gera um outro documento disfarçado de".PDF". Arquivos PDF são comumente repassados dentre organizações, e, como tal, funcionários que receberam esta mensagem de spam podem ser enganados, pensando que ela é legítima.

Trend2
Figura 2. PrintScreen do arquivo anexado

Algumas das pastas de arquivo tem nomes como Versamento.zip, Transazione.zip, Compenso.zip, ou Saldo.zip. Estes nomes de arquivo podem ser traduzidos respectivamente como pagamento, transação, compensação e saldo, respectivamente. No entanto, em vez de ser um arquivo PDF, esses arquivos são, na verdade, uma variante do CryptoLocker detectado pela Trend Micro como TROJ_CRILOCK.YNG.

Semelhante a outras variantes de Cryptolocker, ele criptografa uma grande variedade de tipos de arquivos incluindo .DOTX, .DOCX,.DOC, .TXT, .PPT, .PPTX, e .XLSX entre outros. Todos estes tipos de arquivos estão associados com produtos Microsoft Office e são comumente utilizados nas operações diárias de empresas.

Para receber a ferramenta decodificada que supostamente poderá recuperar os arquivos cruciais dos usuários, os mesmos teriam que pagar um resgate em Bitcoins, um tipo de moeda digital. Uma das amostras que encontramos pediu um resgate de 1.375 BTC, que vale cerca de $500 dólares.

Os usuários italianos são os mais afetados por esta rodada particular de spam, pois um pouco mais da metade de todas as mensagens identificadas foram enviados para usuários na Itália. Um quarto foi para o Brasil, com outros países representando o restante. No seu auge, vários milhares de usuários foram afetados por dia.

Trend 3

 

 

 
Figura 3. Alvos Globais da Distribuição do TorrentLocker

Trend 4

 

 

 

 

 

 

Figura 4. Número de alvos infectados por dia

Tags: , , , ,

0 Comentários

Deixe o seu comentário!

Nome (obrigatório)

E-mail (não será mostrado) (obrigatório)

Website

Mensagem (obrigatório)



Top