titulo

titulo

PandaLabs, Laboratório Anti-Malware da Panda Security, detectou um novo tipo de ransomware que eles pensam poder ser realizada engenharia reversa para permitir os usuários recuperarem seus arquivos.

Chamado de CryptoBit, essa variante particular de ransomware infecta usuários via exploits. Primeiro as infecções apareceram no começo de Abril, e os pesquisadores de segurança dizem que o ransomware é diferente em seu modo de operação. Após a infecção, o CryptoBit irá primeiro, e principalmente, escanear por arquivos que possuem extensões específicas. Por padrão, ele irá procurar por 96 diferentes tipos de arquivos, como os arquivos de armazenamento de dados, como imagens, banco de dados, documentos do office.

Uma vez que o CryptoBit identifica todos os arquivos valiosos, ele procede a encriptação deles usando o algoritmo AES, que usa uma chave para encriptação e outra para decriptação.

A chave de encriptação do AES é então encriptada com algoritmo RSA, que é uma modelo de duas chaves que usa uma chave diferente para encriptação (chave pública) e decriptação (chave privada). Os pesquisadores dizem que a chave privada é mais provável de ser enviada a um servidor sob controle do autor do ransomware.

Após o término do processo de encriptação, o CriptoBit irá exibir uma nota de extorsão como a figura, dizendo ao usuário que os arquivos dele estão encriptados e que ele deve entrar em contato com o autor do ransomware via email ou pela rede Bitmessage network, usando uma ID especial. Se comparado com as outras famílias de ransomware, o CriptoBit é muito ganancioso, pedindo uma quantia generosa de 2 Bitcoins (~$850).

De acordo com os pesquisadores do PandaLabs pode haver uma falha no CryptoBit: “Nós reparamos um detalhe específico: a falta de chamadas para as bibliotecas nativas que criptografam arquivos usando o algoritmo RSA. O CryptoBit usa uma série de rotinas estaticamente compiladas que permitem você operar com números grandes, o que torna possível reproduzir o algoritmo de criptografia RSA”.

Ao que parece, talvez seja possível para os pesquisadores de segurança, agora, realizarem a engenharia reversa, das operações de criptografia do ransomware customizado, e assim recuperar o arquivo de criptografia AES original.

http://news.softpedia.com/news/new-cryptobit-ransomware-could-be-decryptable-503239.shtml
http://i1-news.softpedia-static.com/images/fitted/620x/new-cryptobit-ransomware-could-be-decryptable-503239-2.jpg