Os pesquisadores estão lutando contra o ransomware e lançaram muitas ferramentas de 'descriptografador' para desbloquear os arquivos das vítimas. Um programa lançado no ano passado para combater TeslaCrypt ; pesquisadores publicaram instruções para se livrar do pernicioso ransomware Jigsaw e, mais recentemente, da empresa de segurança cibernética A Kaspersky anunciou seu próprio ferramenta para vítimas do ransomware CryptXXX.
Mas os autores do CryptXXX contra-atacaram e lançaram uma nova versão de seu ransomware que silencia totalmente os esforços da Kaspersky.
“A versão mais recente do CryptXXX, que apareceu na natureza hoje, torna essa ferramenta ineficaz, retornando o foco no CryptXXX para detecção e prevenção”, escreveram pesquisadores da empresa de segurança cibernética Proofpoint em um post no blog, publicado no início desta semana .
CryptXXX funciona da mesma forma que outros ransomwares. Depois que uma vítima em potencial visita uma página da Web maliciosa, seu navegador é redirecionado para um kit de exploração, como o pescador . A partir daqui, o kit entrega CryptXXX à máquina alvo e bloqueia documentos pessoais e outros arquivos armazenados nela.
'Há duas maneiras de escolher: espere por um milagre e dobre seu preço ou comece a obter BITCOIN AGORA!' a mensagem que aparece nas máquinas das vítimas do CryptXXX é lida, de acordo com uma captura de tela publicada pela Proofpoint.
Em sua última iteração, CryptXXX bloqueia a tela e torna o computador infectado inutilizável. Esse movimento, supôs a Proofpoint, foi uma maneira 'rápida e suja' de tornar impossível para as vítimas usar a ferramenta de descriptografia Kaspersky.
Em vez disso, os autores do CryptXXX encontraram outra maneira de contornar isso, escreve a Proofpoint, embora não esteja totalmente claro qual é esse método. (A Proofpoint publicou uma captura de tela de uma mensagem de erro da ferramenta Kaspersky).
Outro ajuste do CryptXXX é que as mensagens de resgate agora são exclusivas para cada vítima e são baseadas em um ID pessoal gerado para cada máquina.
'Os arquivos que alertam a vítima de que ela está infectada eram anteriormente 'de_crypt_readme' com extensões bmp, txt e html. Esses arquivos não são mais usados; em vez disso, os nomes dos arquivos são o 'ID pessoal' exclusivo das máquinas infectadas', continuou a Proofpoint .
Alguns autores de ransomware fizeram erros amadores , que por sua vez permitiu a criação de ferramentas de descriptografia. Com o CryptXXX, no entanto, os pesquisadores podem ter mais batalha em suas mãos.