Categorias: Ciberataques

Ransomware Locker: o que é e como evitar

O ransomware Locker é uma variação de outro malware que infectou mais de 250.000 sistemas de computador a partir de 2013, chamado CryptoLocker. O nome é derivado da janela que se abre no dispositivo infectado, “trancando” o acesso a outros arquivos.

Por isso, essa ameaça foi apelidada de ransomware “Locker” (ou “fechadura” em inglês) por Lawrence Abrams, editor-chefe do blog Bleeping Computer.

O Cryptolocker, por sua vez, foi um ransomware tão perigoso e devastador que exigiu uma força tarefa global para sua derrubada em meados de 2014. Mas no que consiste uma ameaça ransomware e por que ela é tão alarmante?

Neste post, você vai entender melhor o que é o ransomware Locker e como proteger seus dispositivos da infecção.

O que é o ransomware Locker?

Os ransomwares nada mais são do que uma categoria de malwares responsável por ciberataques, nos quais a vítima tem acesso limitado ou bloqueado às suas próprias informações.

A tradução de ransomware seria algo como “software de sequestro”, já que os arquivos somente são liberados perante o pagamento de um resgate. Estima-se que esses tipos de ataques bateram um recorde mundial no final do ano passado, desbancando o phishing como principal vetor de comprometimento de dados.

Sendo assim, o ransomware Locker é um tipo de malware que criptografa arquivos imediatamente após a infiltração em um computador, usando as criptografias AES-256 e RSA-2048. A partir deste ponto, os arquivos tornam-se inutilizáveis. Tem como alvo todas as versões do Windows, incluindo Windows XP, Windows Vista, Windows 7 e Windows 8.

O ransomware Locker é um vírus?

Não é correto afirmar que ransomwares se enquadram na mesma categoria que os vírus. Diferente deles, o Locker não consegue se espalhar ao fazer “cópias” de si mesmo. Sua forma de infectar dispositivos é por meio de um Trojan, que já deve estar instalado no computador da vítima.

Os ransomwares são proliferados de várias maneiras, no entanto, os mais populares são e-mails de spam, fontes não oficiais de download de softwares, ferramentas falsas de atualização de software e trojans. Os e-mails geralmente contém vários anexos maliciosos (por exemplo, arquivos JavaScript, documentos do MS Office com macros, etc.) que, uma vez abertos, baixam e instalam malwares.

Fontes de download de software de terceiros (por exemplo, sites de download de freeware, páginas de hospedagem de arquivos gratuitos e assim por diante) proliferam malwares, apresentando-os como software legítimo. Assim, os usuários são induzidos a baixar e instalar esses programas maliciosos.

No caso do Locker, os cavalos de Tróia atuam de forma mais simples, abrindo espaço para que o ransomware se infiltre no sistema.

Características do Locker

Embora a infecção pelo ransomware Locker aconteça de forma simples, ela pode causar danos devastadores no computador. Essa ameaça compartilha muitas semelhanças com TBHRanso, WannaDie, RASTAKHIZ e dezenas de outros ransomwares que, embora sejam desenvolvidos por criminosos diferentes, seu comportamento é idêntico – todos criptografam dados e exigem resgates.

Esse ransomware normalmente tem apenas duas diferenças principais: o valor do resgate e tipo de criptografia utilizada. Infelizmente, a maioria emprega algoritmos que geram chaves de descriptografia exclusivas.

Portanto, a menos que o malware não esteja totalmente desenvolvido ou tenha certos bugs/falhas, é praticamente impossível restaurar os arquivos manualmente.

Até hoje, ainda existem variantes do ransomware Locker pela web, e muitos especialistas acreditam que a conscientização de segurança é a única opção viável ​​para impedir os ataques.

Como acontece o ataque Locker

O Trojan que produz o Locker é instalado como um serviço do Windows, com um nome de arquivo aleatório. Muitas vezes, ele pode residir no diretório :C:\Windows\SysWOW64 do sistema de arquivos afetados. Além disso, outro serviço é instalado no seguinte diretório: C:\ProgramData\Steg\ com o nome de arquivo “Steg.exe”.

Quando executado, este serviço cria uma pasta em C:\ProgramData\ chamada “Tor”. Após a criação dela, outro serviço é instalado, intitulado “LDR”. Seu executável associado reside em C:\ProgramData\rkcl\ como ldr.exe, totalizando quatro serviços em execução.

Este serviço, cujo nome pode ser interpretado como “LOADER”, instala e lança um executável dentro do mesmo diretório (C:\ProgramData\rkcl), salvo como “rkcl.ee”. Este programa é o principal executável responsável pelas atividades de ransomware do Locker.

Assim como acontece com as outras variantes de ransomwares, o Locker vasculha o dispositivo da vítima em busca de extensões de arquivo para criptografar. Depois de criptografar os arquivos, o Locker abrirá uma janela que contém o resgate e detalhes sobre as infecções.

Esta janela explica o que ocorre com o sistema de arquivos e fornece informações de pagamento, exigindo um resgate que pode chegar a até US$ 1.600(o equivalente a R$ 7.520).

Como se proteger

Em caso de infecção, nunca pague a quantia solicitada, pois não há garantia de que os dados serão recuperados. Como prevenir é melhor do que remediar, é mais eficaz adotar boas práticas de segurança do que lidar com os ciberataques.

Algumas dicas simples podem ajudar nesse processo.

Nunca clique em links inseguros

Evite acessar links em mensagens de spam ou em sites desconhecidos. Isso evita os downloads automáticos que podem levar à infecção do seu computador. Na dúvida, utilize nosso verificador de links para saber se pode acessar aquela URL com segurança.

O mesmo vale para anexos de e-mail suspeitos. O ransomware também pode chegar ao seu dispositivo por eles. Para certificar-se de que o e-mail é confiável, preste muita atenção ao remetente e use o Google para verificar se aquele endereço realmente pertence a ele.

Evite divulgar informações pessoais

Se você receber uma ligação, mensagem de texto ou e-mail de uma fonte não verificável, não responda. Os cibercriminosos que estão planejando um ataque de ransomware podem tentar coletar informações pessoais com antecedência, que são usadas para personalizar as mensagens de phishing especificamente para você.

Se houver alguma dúvida sobre a legitimidade da mensagem, entre em contato diretamente com o remetente.

Cuidado com dispositivos USB

Nunca use pen drives ou outras mídias de armazenamento no seu computador se você não souber de onde eles vieram. Os cibercriminosos podem ter infectado o meio de armazenamento e colocado em um local público para atrair alguém para usá-lo.

Mantenha seus programas e sistema operacional atualizados

A atualização regular de programas e sistemas operacionais ajuda a protegê-lo contra malwares. Ao realizar atualizações, certifique-se de se beneficiar dos patches de segurança mais recentes. Isso torna mais difícil para os cibercriminosos explorarem vulnerabilidades em seus programas.

Use apenas fontes de download conhecidas

Confie em sites verificados e confiáveis ​​para downloads. Para isso, certifique-se de que a barra de endereços do navegador da página que você está visitando usa “https” em vez de “http”. Um símbolo de escudo ou cadeado na barra de endereço também pode indicar que a página é segura.

Use um VPN em redes Wi-Fi públicas

Ao usar uma rede Wi-Fi pública, seu computador fica mais vulnerável a ataques. Para se manter protegido, evite usar Wi-Fi público para trabalhar, fazer downloads ou transações financeiras. Caso contrário, use um serviço de VPN seguro.

Conte com uma solução de segurança

Considere o uso de proteção em tempo real para detectar e colocar em quarentena as ameaças de ransomware antes que criptografem seus arquivos. As soluções baseadas em Inteligência Artificial são as mais eficientes do mercado atual, pois fazem uma análise comportamental e heurística das ameaças.

É assim que funciona o dfndr security, solução de segurança da PSafe baseada em I.A. e que monitora vulnerabilidades e previne o vazamento de dados. Veja no vídeo abaixo

Bianca de Moura

Redatora no Grupo CyberLabs, especialista em Comunicação Digital. É formada em Jornalismo e Publicidade, com mais de 6 anos de experiência em produção de conteúdo voltado para tecnologia. Atualmente, democratiza conhecimentos na área de cibersegurança com o apoio dos especialistas do dfndr lab.

Posts Recentes

Novo golpe descoberto com o dfndr security já tem mais de 2 milhões em bloqueios

"Golpe do @", o novo golpe descoberto com o dfndr security já tem mais de…

1 ano atrás

Futuro da Inteligência Artificial: CyberLabs participa de relatório do Google sobre futuro da inteligência artificial

Empresa foi convidada a colaborar na construção do relatório “O impacto e futuro da Inteligência…

1 ano atrás

Golpes da Copa: mais de 120 mil detecções em Novembro, aponta dfndr security

Conheça o novo golpe que se aproveita do maior evento esportivo do mundo

1 ano atrás

Golpes financeiros: mais de mil tentativas por hora, neste ano

Modalidade de phishing se tornou a campeã de detecções em 2022, acumulando mais de 5…

1 ano atrás

‘Golpe do Auxílio Brasil’: mais de 140 mil tentativas em uma semana

Golpe do Auxílio, criminosos estão utilizando indevidamente o nome do programa e prometem transferência em…

2 anos atrás

Robô do PIX: perfis golpistas ‘dando dinheiro’ têm mais de 600 mil seguidores, aponta PSafe

Presente nas principais redes sociais, perfis do ‘Robô do PIX’ induzem pessoas a acessarem links…

2 anos atrás