Varonis | Segurança de dentro para fora

O Cryptowall em 2018

Escrito por Emilia Bertolli | Jul 5, 2018 4:16:00 AM

O Cryptowall e suas variantes ainda são brinquedos favoritos dos cibercriminosos que querem seus Bitcoins. De acordo com o 2018 Verizon Data Breach Investigation Report, os incidentes de ransomware representam cerca de 40% dos incidentes de malware relatados. Alguns relatórios dizem que o CryptoWall 3.0 causou mais de 325 milhões de dólares em danos desde que entrou em cena pela primeira vez.

Por ser barato e fácil de usar, o vírus se espalha rapidamente e as pessoas continuam pagando para recuperar seus arquivos. Assim, é imprescindível manter vigilância constante para proteger os dados deste e de outros tipos de ataques cibernéticos.

O que é o Cryptowall?
É uma forma particularmente desagradável de ransomware. Ele faz muito mais que apenas criptografar seus arquivos e solicitar que você pague pela chave. Ele tenta se esconder dentro do sistema operacional e se adiciona a pasta Inicializar. Pra piorar, o CryptoWall exclui cópias de sombra de volume dos arquivos, tornando difícil restaurar os dados.

O CryptoWall 3.0 é a versão mais lucrativa até agora. Ele usa criptografia forte, RSA-2048, para bloquear seus arquivos e tentar fazer pagar um resgate.

O CryptWall v4 introduziu um novo recurso para criptografar arquivos e os nomes dos arquivos, o que significa que não é possível consultar o nome do arquivo para verificar (e restaurar) se tiver um backup.

Já a versão 5.1, a mais recente, é baseada no malware HiddenTear, que usa criptografia AES-256, que não está nas versões anteriores. É possível que os desenvolvedores usem o nome CryptoWall, mas não seu código original.

Como funciona o CryptoWall
Existem vários métodos diferentes para disseminar e infectar dispositivos:

– E-mail de phishing: o CryptoWall é acionado com mais frequência por meio de um e-mail de phishing. Esses e-mails tentam enganar o usuário para que cliquem em um link que baixa um malware em seus computadores

– Kits de exploração: aproveita vulnerabilidades de segurança para implantar o malware necessário para executar o ataque.

– Anúncios maliciosos: cibercriminosos compram ou hackeiam anúncios na Internet para entregar malware por meio do navegador. Os anúncios invadidos, geralmente, tentam executar o JavaScript no navegador para baixar o malware sem ser detectado.

No computador, o CryptoWall injeta um novo código no explorer.exe (de acordo com a versão do Windows instalada) e reinicia o programa. Essa nova versão do explorer.exe instala o malware, exclui as cópias de sombra de volume, desabilita os serviços do Windows e gera um novo processo svchost.exe com mais módulos injetados.

Se, por algum motivo, ele falha ao injetar o código no explorer.exe, o CryptoWall usará o scvhost.exe para gerar um novo explorer.exe no qual possa injetar o código. Essa instância do svchost.exe também é responsável pela comunicação de rede, pela criptografia de arquivos e pela remoção do malware quando ele é concluído.

O vírus se instala no registro e na pasta de inicialização e a reinicialização não melhora a situação. Mesmo que se remova todo o software CryptoWall enquanto estiver no Modo de Segurança, ele inicia o backup novamente quando o login for feito.

O Cryptowall precisa se comunicar com um servidor de Comando e Controle (C&C) para continuar o ataque de ransoware. O C&C envia ao CryptoWall a chave de criptografia que será usada para criptografar os arquivos. O vírus, executa todos os arquivos, tanto localmente quanto em qualquer rede conectada e criptografa seus dados.

Assim que a criptografia estiver concluída, é enviada uma nota de resgate com instruções sobre como efetuar o pagamento, normalmente em Bitcoins. Feito o pagamento, o malware é excluído. Isso não quer dizer que todos os arquivos são recuperados, apenas 19% dos usuários que pagam o resgate realmente recuperam os arquivos.

Como se proteger?
Como é improvável que os arquivos sejam recuperados, a prevenção é melhor que a cura.

Dicas para evitar, ou desarmar, possíveis ataques de ransomware:

– Mantenha seu computador atualizado
O malware usa vulnerabilidades conhecidas para migrar para novos computadores. Se há uma vulnerabilidade sem correção, uma porta está aberta para os cibercriminosos.

– Use um antivírus
O antivírus, quando atualizado, pode proteger contra vários tipos de ataques de malware.

– Use um firewall
Um firewall local pode proteger contra algumas conexões que o malware usa, como o servidor de Comando e Controle.

– Não clique nos links
Não clique em links e nem faça download de arquivos de e-mails suspeitos

– Pratique a navegação segura
Verifique se o navegador está atualizado, use a maior criptografia possível e desative anúncios e JavaScript por padrão.

– Faça backup dos arquivos
Mantenha sempre uma cópia backup dos arquivos.

Caso o CryptoWall ultrapasse suas defesas e infecte o computador, remova-o antes de iniciar a máquina novamente:

– Inicialize o computador no Modo de Segurança com rede

– Se tiver um ponto de restauração do sistema recente e limpo, restaure. Caso não tenha baixe e instale um aplicativo de remoção de malware. Execute o aplicativo e verifique todos os arquivos.

Caso esteja planejando uma estratégia de segurança corporativa, há outros pontos que devem ser considerados:

– Mantenha um modelo de privilégio mínimo.
Os usuários têm acesso apenas aos arquivos que precisam para suas tarefas diárias.

Aproveite a análise de segurança para proteger seus arquivos. A Varonis monitora a atividade de arquivos e comportamento dos usuários para prevenir vazamentos e ataques.