Kaspersky Lab decifra o CryptXXX e lança ferramenta para as vítimas recuperarem seus arquivos

Empresa registrou no Brasil mais de 160 tentativas de ataque desse ransomware

São Paulo, 3 de maio de 2016– Como parte do empenho contínuo da Kaspersky Lab em proteger seus usuários dos ransomware mais recentes, a empresa desenvolveu uma ferramenta para restaurar arquivos criptografados pelo CryptXXX. Esse ransomware bloqueia arquivos, copia dados e rouba Bitcoins dos dispositivos Windows das vítimas.



O ransomware CryptXXX é disseminado por meio de mensagens de spam que contêm anexos infectados ou links para sites maliciosos, como páginas web que hospedam o kit de exploits (EK) Angler. Quando executado, o ransomware criptografa os arquivos do sistema infectado e acrescenta uma extensão .crypt aos nomes dos arquivos. As vítimas são informadas de que seus arquivos foram bloqueados pelo algoritmo de criptografia RSA-4096 e é exigido um resgate em bitcoins para liberar os dados.

Existem atualmente mais de 50 famílias de ransomware em atividade, mas não há um algoritmo universal para combater a ameaça ou o impacto desses ataques. No entanto, no caso do CryptXXX, a demanda dos criminosos com o RSA-4096 acabou tornando-se apenas uma ameaça, já que a Kaspersky Lab conseguiu desenvolver uma ferramenta de descriptografia para recuperar os arquivos bloqueados, que está disponível gratuitamente no site da empresa. Mesmo não sendo o alvo desses malware, a empresa registrou mais de 160 tentativas de infecção no Brasil no último mês.

Graças ao trabalho de Fedor Sinitsyn, analista sênior de segurança da Kaspersky Lab, as vítimas podem ter a certeza de que, mesmo que o CryptXXX tenha conseguido infectar o sistema, ainda é possível recuperar os arquivos sem pagar o resgate. Para descriptografar os arquivos afetados, a vítima precisa da versão original (não criptografada) de pelo menos um arquivo afetado pelo CryptXXX.

Clientes das soluções da Kaspersky Lab estão protegidos, já que o kit exploits Angler usado pelo ransomware CryptXXX é detectado nas primeiras etapas da infecção pela tecnologia de Prevenção Automática contra exploits incluída nas soluções. Os produtos da Kaspersky Lab detectam o kit de exploits pelas assinatudas HEUR:Exploit.SWF.Agent.gen, PDM:Exploit.Win32.Generic, HEUR:Exploit.Script.Generic.

Para se proteger de uma infecção por ransomware, os usuários devem seguir as seguintes dicas:

1) Realizar backups regularmente.

2) Instalar todas as atualizações críticas do sistema operacional e dos navegadores. O kit de exploits Angler usado pelo CryptXXX explora as vulnerabilidades de software para baixar e instalar o ransomware.

3) Implementar uma solução de segurança. O Kaspersky Internet Security oferece proteção em vários níveis contra ransomware e o Kaspersky Total Security complementa a proteção com backups automáticos.

As empresas podem usar o Kaspersky Security for Windows Server, que inclui a tecnologia Anti-Cryptor, desenvolvida para proteger a infraestrutura de TI contra cryptomalware.

Veja mais dicas para se proteger de ataques de ransomware em http://brazil.kaspersky.com/sobre-a-kaspersky/centro-de-imprensa/comunicados-de-imprensa/2016/kaspersky-lab-lista-10-dicas-simples-para-se-proteger-do-sequestro-digital-ransomware.

Mais informações sobre o CryptXXX estão disponíveis no blog Kaspersky Daily.