Os perigos ao abrir emails suspeitos: Ransomware Crowti

Por Msft-mmpc 

 

O Centro de Proteção contra Malware da Microsoft (MMPC) tem visto um aumento no número de detecções de ameaças este mês com o ransomware  Win32/Crowti  , como resultado de nova campanha de  malware. Crowti é uma família de ransomware que, quando encontrada, tenta criptografar os arquivos no seu PC, e, em seguida, pede  pagamento para desbloqueá-los. Estas ameaças estão sendo distribuídos através de campanhas de spam via emails.

O Crowti impacta tanto empresas como usuários domésticos, no entanto, este tipo de ameaça pode ser especialmente prejudicial em ambientes empresariais. Na maioria dos casos, tais como ransomware Crowti que pode criptografar arquivos e deixá-los inacessíveis. Por isso é importante fazer o backup de arquivos de forma regular. As tecnologias de armazenamento em nuvem, como o OneDrive Corporativo ajuda com recursos, como na versão integrada do histórico que reverte para uma versão anterior não criptografada de seus arquivos.

Também recomendamos que você aumente a conscientização sobre os perigos de abrir email desconhecidos,  isso inclui não abrir anexos de email ou links a partir de fontes não confiáveis. Os invasores normalmente tentam imitar transações comerciais regulares em emails como fax, correio de voz ou recibos. Se você receber um email que você não esteja esperando, é melhor ignorá-lo. Tente validar a origem do email em primeiro lugar antes de clicar em um link ou abrir o anexo. Há mais conselhos para ajudar a prevenir uma infecção a partir de ransomware e outras ameaças no final deste blog.  

O gráfico abaixo mostra como Crowti ransomware impactou nossos clientes no mês passado.

 

Figura 1: Dados diários registrados para o ransomware Win32/Crowti

Os computadores nos Estados Unidos foram os mais afetados, com 71 por cento do total, seguido pelo Canadá, França e Austrália. 

 

       DISTRIBUIÇAO GEOGRÁFICA DO CROWTI

Figura 2: Dados de telemetria para o Win32/Crowti por país de  21 de Setembro s 21 de Outubro de 2014 .

 

 

Infecção e instalação

O Crowti está sendo distribuído via campanhas  de spam com anexos de email projetado para atrair o receptor a fim de abrí-las. Temos visto os seguintes nomes nos anexos:

    • VOICE<random numbers>.scr
    • IncomingFax<random numbers>.exe
    • fax<random numbers>.scr/exe
    • fax-id<random numbers>.exe/scr
    • info_<random numbers>.pdf.exe
    • document-<random numbers>.scr/exe
    • Complaint_IRS_id-<random numbers>.scr/exe
    • Invoice<random numbers>.scr/exe

O anexo  normalmente  tem conteúdo de um arquivo zip. Ao abrir e executar este arquivo o malware será lançado. Um exemplo de mensagens de email com spam é mostrado abaixo:

 

Figura 3: mensagem de spam no email com o Win32/Crowti como um anexo

Nossa telemetria e pesquisa mostra que Win32/Crowti também é distribuído por meio kits de exploits como o Nuclear, RIG e RedKit V2. Estes kits podem oferecer diferentes manipulações, incluindo aqueles que exploram as vulnerabilidades Java e Flash. Alguns dos exploits utilizados para distribuir Crowti são os seguintes:

No passado, nós também vimos Win32/Crowti sendo instalados por outros tipos de malware, tais como Upatre, , Zbot Zemot.

A Figura 4 mostra uma típica cadeia de infecção:

 
Figura 4: Cadeia de infecção Crowti

 

Criptografia de arquivo

A tarefa principal do Crowti é criptografar os arquivos no seu PC. Normalmente com nomes de CryptoDefense ou CryptoWall. Abaixo está um exemplo de mensagem indicando os arquivos criptografados.

 

Figura 5: Mensagem de criptografia do Crowti

Os links na mensagem acima vai direcioná-lo a página web de um Tor pedindo para pagamento com Bitcoin.

 

Figura 6: Crowti – pedido de pagamento 

Em 29 de Setembro de 2014, vimos uma amostra Crowti distribuída com um certificado digital válido que foi emitido por Trend  como mostrado abaixo. Isso não está associado com a Trend Micro Technology e o certificado já foi revogado. Crowti tem usado os certificados digitais para contornar os sistemas de detecção antes – nós já vimos o Crowti usando um certificado emitido para a Nielsen Company.

 

Figura 7: Certificado digital Crowti

Protegendo seu PC

Não há nenhuma garantia de que pagar o resgate lhe dará  acesso a seus arquivos ou restaurará o seu PC ao seu estado de pré-infecção. Recomendamos não pagar o resgate.

Há uma série de precauções de segurança que podem ser tomandas para prevenir estes ataques de ambas as empresas e máquinas para o consumidor. Assim sendo, esteja consciente de emails suspeitos e faça o  backup dos seus arquivos regularmente. Você também deve manter seus produtos de segurança e outras aplicativos atualizados. Os invasores estão tirando vantagem de sistemas sem patches de segurança contra vulnerabilidades em software que possa  comprometer sua máquina. A maioria dos exploits utilizados pelos Crowti são  encontradas no plugin para navegador de aplicativos, tais como Java e Flash. Faça um hábito de regularmente atualizar seu software que poderá ajudar a reduzir o risco de infecção.

Além disso, encorajamos você a participar do nosso programa  Microsoft Active Protection Service Community (MAPS).  Nós usamos os dados que coletamos do programa MAPS para criar melhores detecções, e para responder o mais rápido possível. Este recurso é ativado por padrão para o Microsoft Security Essentials e o Windows Defender para o Windows 8.1 . Você pode verificar se o recurso do  programa do  MAPS está ativado em seu produto de segurança da Microsoft selecionando o guia Configurações  e, em seguida, MAPS:

 

 

Figura 8: Mostra o recurso de MAPS habilitado com a opção dentro do produto segurança de anti-malware da Microsoft, que pode tirar o máximo proveito  dos serviços de proteção em nuvem da Microsoft

Como sempre, recomenda-se também a execução de um produto de  segurança em tempo real como o Microsoft Security Essentials ou  outro produto de segurança da sua confiança.Você pode ler mais sobre Win32/Crowti e ransomware, em geral neste website  Microsoft Malware Protection Center.   

MMPC