Novo ransomware Cr1ptT0r infecta equipamentos NAS

De acordo com informações do site BleepingComputer, o novo ransomware Cr1ptT0r com foco em sistemas embarcados está infectando equipamentos NAS (Network Attached Storage).

Os primeiros relatos sobre o ransomware Cr1ptT0r apareceram no fórum do BleepingComputer, onde usuários disseram que seus equipamentos NAS ‘D-Link DNS-320’ foram infectados.

A D-Link não comercializa mais o DNS-320, mas a página do produto indica que ele ainda é suportado pela empresa. O problema é que a versão de firmware mais recente é de 2016.

No momento os dados do serviço VirusTotal mostram que poucas soluções de segurança detectam o arquivo ELF usado para infectar os equipamentos como malicioso.

Já foi confirmado que o ransomware explora vulnerabilidades no firmware do D-Link DNS-320 para infectar os equipamentos.

Após infectar o equipamento NAS, o ransomware Cr1ptT0r cria dois arquivos de texto. Um é o pedido de resgate com o nome “_FILES_ENCRYPTED_README.txt”, enquanto que o outro arquivo com o nome “_cr1ptt0r_support.txt” contém o endereço de um site na rede Tor que supostamente oferece suporte para as vítimas que não tem ideia do que fazer após a infeccção.

Chaves para desbloquear os arquivos criptografados pelo ransomware estão sendo vendidas através do serviço OpenBazaar por BTC 0.30672022 (cerca de US$ 1.200 de acordo com a cotação mais recente da criptomoeda Bitcoin). O serviço também oferece a opção para pagar US$ 19,99 pelo desbloqueio de arquivos individuais.

O ransomware Cr1ptT0r não adiciona uma nova extensão aos arquivos criptografados, mas o pesquisador de segurança Michael Gillespie analisou o malware e os arquivos criptografados e descobriu que ele adiciona o marcador “_Cr1ptT0r_” no final dos arquivos.

Ele também notou que o ransomware usa a biblioteca de criptografia Sodium e o algoritmo “curve25519xsalsa20poly1305” para criptografia assimétrica.

A chave pública (256 bits) usada para descriptografar os arquivos e a lista com os arquivos criptografados está em um arquivo de texto separado com o nome “cr1ptt0r_logs.txt”.

O que é um ransomware?

Ransomware é um tipo de malware que restringe o acesso ao sistema ou certos arquivos e cobra um valor de “resgate” para que o acesso possa ser restabelecido.

Exemplos conhecidos incluem o CryptoLocker, CryptoWall, CTBLocker, CoinVault e Bitcryptor.

Ferramentas para desbloquear arquivos criptografados por este tipo de ameaça também estão disponíveis no portal No More Ransom. O portal foi lançado pela Unidade de Crime de Alta Tecnologia da Polícia Holandesa, European Cybercrime Centre (EC3) da Europol e empresas de cibersegurança – a Kaspersky Lab, McAfee e ESET.

Acesse o portal clicando aqui.

Fonte: Baboo


Serviços
Comentário(s)

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Powered by SuaInternet.COM


Serviços

Atendimento OnLine
Enviar...