PplWare Mobile

Saiba como se proteger contra o CryptoLocker


Apaixonado por tecnologia, encontro no Pplware a forma ideal de mostrar aos outros os meus conhecimentos e de partilhar tudo o que me interessa neste intrincado universo

Destaques PPLWARE

  1. David Ferreira says:

    ahah esta aplicacao esta bem desenhada gostei do cryptlocker xD….easy money

  2. Pedro says:

    Quem tiver uma bom antivirus não fica protegido contra esta ameaça? Eu tenho o KIS2014, será suficiente?

    Tks.

  3. pixar says:

    O vírus da PSP é bastante fácil de eliminar, mas parece que este é mais habilidoso…

  4. Vitor Sequeira says:

    embora já tenha lido vários artigos sobre esta aplicação, não a conheço de modo a fazer uma avaliação isenta.

    mas tenho o HitmanPro.Alert com o CryptoGuard, que pertence a um desenvolvedor de topo e no qual confio imenso, mesmo estando em fase beta.

    aqui fica mais uma dica para todos os interessados – podem baixar aqui gratuitamente:

    http://www.surfright.nl/en/alert/cryptoguard

  5. Flink says:

    Eu sei de um caso em ambiente empresarial que para além dos discos locais, as unidades de rede mapeadas foram encriptadas. Depois de muito tentarem e partirem a cabeça à procura de uma alternativa, a empresa foi obrigada a pagar uns quantos bitcoins para reverter a encriptação.
    É dos vírus/fraudes “muito mais melhor bem” elaboradas que me lembro de ver nos últimos tempos.

    • Nelson says:

      Quem não investe em segurança informática… depois paga…

    • boy says:

      e uma formatação da máquina não resolve isto??

    • diogo says:

      Podes crer! o vírus da PSP comparado com este é um menino ahahhah. uma duvida que tenho: se usar-mos um file server com autenticação em Linux e os utilizadores usarem Windows para aceder aos ficheiros, o vírus consegue encriptar os ficheiros na mesma?

      • Nelson says:

        Depende de como é feito o acesso aos ficheiros.

        Se esta mapeado para uma drive ou pasta, OK, pode comprometer o sistema. (mais normal)

        Senão, o vírus tem de saber fazer o seu estrago.

        Contudo, se utilizares um sistema de ficheiros “journalized” no linux, e enquanto este não consolidar o “journal”, podes, sem backup, restaurar uma versão anterior do ficheiro (não encriptada) sem recorrer a backups.

  6. Filipe YaBa Polido says:

    Atenção que existe uma variante que não mostra essa mensagem “bonitinha” 🙂
    Simplesmente encripta os ficheiros mais comuns (inclusivé bases de dados), altera a extensão para .OMG! e deixa um texto informativo de como podem recuperar os dados.
    Até ver, tem pedido às vítimas 2 bitcoins, o que ao valor de hoje seriam 648 Euros.
    Haja backups 🙂 🙂 🙂

    • Filipe YaBa Polido says:

      Faltou acrescentar, esta variante espalha-se aproveitando-se de uma vulnerabilidade no serviço RDP e outros.
      Podem detectá-lo se virem contas suspeitas com nomes tipo “sys”, “jen55”, etc…
      Segundo o fórum francês com mais actividade sobre esta variante, sim, o criador do vírus envia o utilitário para desencriptar após pagamento. A ideia é mesmo essa, que as pessoas passem a palavra que ao pagar conseguem recuperar de facto os ficheiros, e assim vão enchendo os bolsos 😐

  7. André says:

    Olá,

    Ainda no outro dia (2 semanas) aconteceu lá na empresa.
    O admin de rede chegou e através das configs anulou em menos de 1 minuto.

    • Filipe YaBa Polido says:

      Então no próximo dia 25 de Julho tens que lhe oferecer uma prendinha 🙂 🙂 (Sysadmin appreciation day)

      http://www.sysadminday.com/

    • spm says:

      Anulou o cryptlocker?

    • Jose says:

      Este virus depois de executado, não há maneira de reverter a encriptação sem a chave, a menos que arranjem uma grande dose de super computadores, e mesmo assim, demoraria seculos a encontrar a chave.

      Ao formatar o problema fica resolvido sim, mas perde-se os ficheiros.

      E aposto que as chaves são random e geradas na altura da encriptação, para evitar divulgação.

      Um bicho destes não é dificil da fazer, a parte mais dificil, esta na encriptação que e bastante forte e incomum.

      • Filipe YaBa Polido says:

        A parte do forte é relativa 😉
        Na variante que falei acima, só parte do ficheiro é encriptado com a API do Windows e adicionados 12 bytes no final do ficheiro.
        Analisando 2 decryptors que o criador do vírus enviou para 2 pessoas diferentes, nota-se que existem apenas 32 bytes de diferença entre eles, presume-se que seja a chave. Até aqui tudo ok.
        No entanto… quando o Decryptor é executado, apenas X bytes da chave que entram na função CryptDecrypt é que são alterados, bytes estes que estão directamente relacionados com os 12bytes que o vírus deixa no final de cada ficheiro encriptado.
        Deixei esta e mais informação num fórum nosso conhecido, com os pormenores todos e o que foi feito até agora em termos de engenharia reversa.
        Com sorte, o criador do vírus, fez isto à pressa para apanhar a tempo a vuln. do RDP, caso contrário arriscava-se a perder muitas vítimas (updates, etc)
        O resto, é para despistar, digo eu, pelo menos é o que revela o executável (Decryptor).

        Na informática nada é impossível, são apenas 0’s e 1’s, quando muito, não compensa o tempo 😉

        • Nosferatu Arucard says:

          Para quebrar uma chave de 2048-bits seria preferível um computador quântico que os quebrava em poucos segundos/minutos consoante a quantidade de qubits do sistema. (128 ou 256 qubits seria mais fiável, um de 4096 quebrava a chave num ciclo de relógio!)
          O problema é que estes sistemas ainda estão numa fase embrionária.

          • Filipe YaBa Polido says:

            Exacto, mas isso seria se realmente o vírus encriptasse com uma chave de 2048, o que parece não ser o caso, dado o comprimento da chave que está no Decryptor e que posteriorment entra para a função que desencripta 😉 😉

    • Rafael says:

      Já agora, como?

  8. paulo g. says:

    Esse vírus é só para ruimdows?

  9. navyseal says:

    Atenção que isto não tem solução, até podem remover o virus, mas assim que os vossos ficheiros fiquem encriptados pelo mesmo, adeus, pagam ou ficam sem eles. O conselho é mesmo não pagar, porque se o fizerem vão promover o respectivo e os seus criadores vão continuar com o negócio.

  10. fornost says:

    … não estou a confiar em algo da “foolishit.com/” nome pra lá de “curioso”… parece-me que estou criando um problema ao invés de prevenindo… nunca tive problemas com “vírus” baixados por aqui, mas a paranóia/prevenção me é inerente….

  11. hsilva says:

    Ja aconteceu a dois clientes em server 2003, e foi por uma falha do rdp, tem que se instalar um patch para corrigir essa vulnerabilidade… E só a pagar é que se tem acesso aos dados… Foi backups e tudo… Está em força esta nova forma de ganhar dinheiro, aconselho vivamente a backups na cloud

    • Jose says:

      Se os backups tiverem no disco, vão a vida também, obvio, por isso que se devem fazer backups para DVDs ou fontes externas.

      Eu no lugar dele, nem encriptava os backups, eliminava.

    • Nelson says:

      Depende do serviço na cloud…

      Se for uma conta free na dropbox… não serve…

      Se quer segurança, tem de ter backups incrementais, claro que em RAID…

      Com o hardware e software que há hoje em dia, que é barato, é uma barbaridade não ter isso!

      Mas já se sabe, as empresas, quando vêm as necessidades á frente, “mas porque é que você não me pôs isso”, mas na altura de fazer o orçamento e de pagar… é sempre a fugir…

  12. João Dias says:

    Isto não será um pouco jogo de gato e rato?
    Este malware já cá anda há semanas e só agora estão a aparecer ferramentas.
    É uma questão de mutar o malware para algo diferente e volta tudo ao mesmo…

    • Nelson says:

      Há sempre a hipótese de a Microsoft ser uma empresa competente e fazer o Windows de maneira a que “coisinhas” como esta, não entrem (isto, se não for um cavalo de tróia). Que pelo dinheiro que ganha só a vender licenças para Windows, era o mínimo que se podia pedir…

      Há sempre a hipótese de ir á concorrência… há por aí um bom número de alternativas: Linux, FreeBSD, Mac.

  13. Rodrigo says:

    Tá, mas e em linux, isso pega?

  14. rand says:

    Não podemos pedir à NSA para desencriptar os dados?

  15. Asdrubal says:

    Onde é que se pode encontrar este vírus pra fazer uns testes?

    • Filipe YaBa Polido says:

      Entra em contacto comigo, sou fácil de encontrar 🙂
      Mas estamos mais interessados em reverter o Decryptor que no vírus propriamente. Toda a ajuda é bem vinda 🙂

      • Roberto Costa says:

        Ola amigo, vi vc falando sobre uns foruns, eu tb quero ajudar. Estou estudando estes algoritmos de encryptaçao.
        Vc poderia passar para mim?

  16. Arw says:

    Caro José uma unica frase para si!
    Menos um bocadinho.

  17. Marco Teixeira says:

    O site pra descarregar a aplicação está inoperacional. Foolshit? A fonte é séria ?

    • fornost says:

      estou com receio de testar, fiz a mesma indagação, mas não falaram nada…

    • Paulo Costa says:

      Sim, a fonte é 100% fidedigna e segura (Foolish IT), o site é de um programador que se dedica a fazer ferramentas/aplicações úteis para técnicos e também para simples utilizadores, tal como a CryptoPrevent.

      Tem estado offline provavelmente por problemas com o servidor dele ou por excesso de acessos aos links, mas de vez em quando lá dá para descarregar o ficheiro.

      Podem ver aqui o forum do site onde existem vários posts relacionados com essa ferramenta:

      http://foolishtech.com/viewforum.php?f=5&sid=ed3c737b58e31f998e5cf284e5e2f7ee

      • fornost says:

        muito obrigado pela resposta Paulo Costa! Fico mais tranquilo agora e testarei logo logo.

        Moro no Brasil e tenho contato com policiais, no meu curso. Esse Cryptolocker virou algo perigosíssimo aqui.

        As empresas estão sendo alvo dessa forma de extorsão. Só na minha cidade há mais de 4 casos nas últimas semanas

  18. Paulo Costa says:

    Para quem tem dúvidas se o CryptoPrevent tem vírus ou é malicioso, não é. Podem acontecer alguns AVs detectarem-no como sendo um falso positivo, mas é uma aplicação segura (não faria sentido o contrário e no contexto do artigo).

    Podem ler aqui a resposta do próprio programador: http://foolishtech.com/viewtopic.php?f=5&t=913

    Uma breve explicação do porque isso acontece: http://www.foolishit.com/bad-av/

  19. Paulo Costa says:

    Para quem foi infectado, esta ferramenta cria um ficheiro de texto no Ambiente de Trabalho com a lista de ficheiros que foram encriptados pelo CryptoLocker.

    Download: http://download.bleepingcomputer.com/grinler/ListCrilock.exe

    Fonte: http://www.bleepingcomputer.com/virus-removal/cryptolocker-ransomware-information#list

  20. Redin says:

    Há aqui uma coisa que me está a escapar.
    Se os utilizadores estiverem a utilizar os PCs em modo de utilizador e não administrador, penso que esse vírus não poderá infetar o sistema visto que terá de passar pelo crivo da autorização (pass) do admin.
    Num aviso de pedido de alteração do sistema que apareça de forma involuntária e de modo suspeita, nunca se deve autorizar a instalação.
    Estou errado?

    • Filipe YaBa Polido says:

      Estás. Em modo de utilizador, se tirarmos proveito de um erro de algum programa ou dll que corra em modo de administrador, passar a ter as mesmas permissões.
      Pesquisa pelo Google exploits ring 0 e afins.
      Também acontece no Linux com os ficheiros que têm o bit SUID activo, daí as famosas exploits com permissões de root.
      Se quiseres comprovar por ti próprio, saca o mimikatz e corre na tua máquina como utilizador “normal” e logo vês 🙂 🙂
      Cumps.

      • Redin says:

        Então, mas para se poder tirar proveito desses programas ou dll’s nao é necessário entrar num sistema que só o admim pode fazer?
        O que eu estou a imaginar é obtermos esses ficheiros já infetados em locais que os tenham e ao usá-los mesmo em modo limitado, eles conseguem “furar” o esquema de segurança.
        De outra maneira só mesmo exigindo a pass do admin para os infetar e dessa maneira conseguir.
        Não sei o que é o mimikatz mas suspeito que seja um programa de testes de ameaças.

        • Filipe YaBa Polido says:

          Boas,
          O mimikatz, simplificando muito, saca-te as passwords todas do sistema em cleartext, mesmo não sendo admin. Consegues imaginar as possibilidades se correres isto num servidor que seja controlador de domínio?
          Era aqui que queria chegar. Não precisas de ser admin ou estar no grupo de admins para conseguir fazer certas coisas.
          É como ir de Lisboa ao Porto, podes ir pelas nacionais, mas o ideal é ires pela Autoestrada 😉 😉 😉
          Resumindo, existem vários processos que correm no Windows com permissões elevadas, estes trojans, vírus, etc, tiram proveito de vulnerabilidades e injectam código, dll’s, etc…
          Não sei se me fiz entender 😐
          Procura o conceito de “exploit” no Google para teres uma noção melhor.

        • Filipe YaBa Polido says:

          OFFTOPIC: Bem me parecia que o nick era familiar. Srº A.P. 🙂 ? como está o projecto de anti-spam?
          Cumprimentos!

          • Redin says:

            Ora boa tarde.
            Só não o contactei mais cedo porque pensei que ainda tinha em memória os nossos comentários referentes ao meu projeto anti-spam.
            Não há um só dia em que não sinta melhorias nem que seja por “um bocadinho” e por falar nisso, estou neste momento a preparar-me para ir agora mesmo para a FIL Lisboa participar num encontro com a Beta-i no “Festivel IN”.
            Se apareceres por lá não deixes de me contactar. Continuo a procurar um programador que satisfaça os requisitos que procuro.
            Podes-me acompanhar as novidades no meu facebook.
            Cumprimentos e até sempre.

  21. estevan says:

    tem alguma maneira de recuperar os dados usando live cd? EX:eu estou usando windows, porem, tenho um DVD de um linux (EX:ubuntu), quando insiro o CD e reinicio o computador, me da opção de experimentar usando o CD ou instalar, se eu clicar em experimentar, consigo pegar alguns arquivos?

  22. ka says:

    FILIPE OU ALGUEM Q REALMENTE ENTENDA DO ASSUNTO: MEU PC FOI INFECTADO RECENTEMENTE PELO CRYPTOLOCKER E PERDI TUDO Q ESTAVA LA (DOCUMENTOS, PESQUISAS, FOTOS, VIDEOS, ETC.).
    OU SEJA, COISAS Q SAO “SAGRADAS” PARA MIM COMO O NASCIMENTO E CRESCIMENTO DA MINHA FILHA, FOTOS E FILMES DE FAMILIARES, AMIGOS, PESSOAS Q INFELIZMENTE JA PARTIRAM, DOCUMENTOS, E MAILS E PESQUISAS DE SUMA IMPORTANCIA TANTO A NIVEL PESSOAL COMO PROFISSIONAL. TINHA O BACKUP DE TUDO, MAS INFELIZMENTE FOI PERDIDO NA MINHA ULTIMA MUDANÇA. SOU TOTALMENTE LEIGA NO ASSUNTO, E TENHO 3 PERGUNTAS P FAZER:
    1- VC ACHA Q EM ALGUNS ANOS (VAMOS DIZER, UNS 5 ANOS), HAVERA UM JEITO DE RECUPERAR OS ARQUIVOS?
    2- QUEM PAGOU O RESGATE TEVE SEUS ARQUIVOS DEVOLVIDOS?
    3- ESTOU PENSANDO EM PROPOSITADAMENTE DEIXAR MEU PC INFECTAR SE NOVAMENTE E PAGAR O RESGATE NA ESPERANÇA DE REAVER MEUS ARQUIVOS. SERA QUE POR SER O MESMO ENDEREÇO DE IP, EU CONSEGUIRIA RECUPERAR OS DADOS SEQUESTRADOS DA PRIMEIRA VEZ????

    DESDE JA,
    AGRADEÇO.

    • Filipe YaBa Polido says:

      Antes de mais, lamento pela perca, sei bem o que isso é, mas como aconteceu cedo, aprendi a fazer backups offsite e na cloud 😉
      1 – Possivelmente irá haver solução, não se sabe quando. Digo isto porque na 1ª versão do vírus, a Panda conseguiu fazer um utilitário que desencriptava os ficheiros.
      Já na segunda versão (a que andei em tempos a reverter), dá a ideia que a chave não é de 2048 bits como se pensa, muito pelo contrário… Mais preocupante é a nova variante que acrescenta um período de tempo para desencriptar, findo esse tempo os ficheiros são perdidos para sempre.
      Note-se que tive 2 clientes com a 2ª variante, um com a 3ª e outro com ataque directo e ficheiros encriptados com o TrueCrypt 😐
      2 – Todos os clientes que pagaram, em menos de 10 minutos tiveram o executável para desencriptar os ficheiros. Bastou apenas criar uma carteira virtual de bitcoins, comprar as mesmas na BTC.pt (excelente serviço diga-se de passagem).
      Custa a dar o dinheiro, mas cada um sabe de si e quando vale a sua informação. Diz-se por aí em fóruns da treta que pagar não adianta, mas o objectivo deles é ganhar dinheiro, se não devolvessem os ficheiros mais ninguém pagava 😛
      3 – Não entendi esta questão… o Cryptolocker deixa os ficheiros no PC, só que estão encriptados, se pagar e desencriptar, aconselho a instalar um bom antivirus, fechar portas abertas para o exterior ou pelo menos trocar para outras menos óbvias, tipo 3389 para 43210, por exemplo.
      Ah… e actualizar Javas e Adobes 😐
      Boa sorte.

    • Luis says:

      Provavelmente já vim tarde mas gostava de ajudar…o que eu recomendo se esses ficheiros são tão importante é contratar uma empresa de recuperação de dados. Eles normalmente têm duas vertentes: Hardware (problemas fisicos) e Software (Problemas identicos ao seu).

      É muito provavel que a empresa lhe peça duas/três semanas para a recuperação total e depois depende dos GB, mas posso dizer que menos de 1000€ eles não trabalham.

      Não vou colocar aqui o nome da empresa mas basta procurar por “empresa recuperação de dados”. Esqueça as lojas de informática, pois esta operação exige alta técnologia.

      Espero ter ajudado, Cumprimentos.

    • klaus stolt says:

      Ka, o dual boot windows/linux pode resolver em partes o teu problema, isto se voce fizer um backup dos teus dados pessoais (compactando e guardando o arquivo) fora da maquina que está na rede, uma outra solução é colocar num pen-drive que não é usado diariamente ou gravar um dvd de segurança, o windows pode ser protegido comprando uma licença antivirus mais eficiente e o mais importante é sempre que voce for navegar em aguas perigosas (rede) começe usando o linux.

Deixe uma resposta

O seu endereço de email não será publicado.

You may use these HTML tags and attributes: <a href="" title="" rel=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*

Aviso: Todo e qualquer texto publicado na internet através deste sistema não reflete, necessariamente, a opinião deste site ou do(s) seu(s) autor(es). Os comentários publicados através deste sistema são de exclusiva e integral responsabilidade e autoria dos leitores que dele fizerem uso. A administração deste site reserva-se, desde já, no direito de excluir comentários e textos que julgar ofensivos, difamatórios, caluniosos, preconceituosos ou de alguma forma prejudiciais a terceiros. Textos de caráter promocional ou inseridos no sistema sem a devida identificação do seu autor (nome completo e endereço válido de email) também poderão ser excluídos.