Durante os primeiros dias do ataque do Criptolocker, a Check Point Software Technologies detectou e bloqueou esse malware em mais de cinquenta empresas, economizando até US$ 500 mil em resgates. O Criptolocker é um tipo de malware conhecido como ‘ransomware’ e foi identificado pela primeira vez no início de setembro de 2013. Como outras formas de ransomware, ele se instala no computador da vítima e é executado, sem o conhecimento do usuário final, criptografando diversos arquivos de dados do usuário.
O Criptolocker é uma ameaça crescente, com um número cada vez maior de infecções nas últimas semanas. A ameaça ataca usuários individuais e empresas, com a maior presença detectada nos Estados Unidos e no Reino Unido.
Após a fase de criptografia, o Criptolocker exibe uma mensagem informando o usuário que seus arquivos foram ‘sequestrados’, solicitando o pagamento de um resgate para receber as senhas de criptografia que permitem descriptografar dos arquivos.
O resgate é normalmente um valor de aproximadamente US$300, com um acréscimo de 10 bitcoins (cerca de US$3.800) caso o usuário não faça o pagamento imediatamente. A descrição também revela que, caso o usuário não realiza o pagamento dentro do período determinado (geralmente menos de 4 dias), a senha privada necessária para o desbloqueio será deletada dos servidores, impossibilitando a recuperação dos dados.
Uma característica importante do Criptolocker é que o agente de malware deve encontrar e iniciar a comunicação com um servidor de comando e controle (C&C) antes de começar o processo de criptografar os arquivos. Ao estabelecer uma conexão com o servidor C&C, o servidor gera uma senha pública única enviada ao agente para criptografar os dados do computador da vítima.
A equipe de pesquisa de malware da Check Point conseguiu prever as URLs dos servidores C&C que os agentes do Criptolocker queriam contatar, e criou ‘assinaturas inteligentes’ para o Anti-Bot e o Antivírus da Check Point. Com atualização dinâmica para todos os usuários do ThreatCloud, essa proteção bloqueia a comunicação com os servidores C&C do Criptolocker e evita o início do processo de criptografia maliciosa.
Os clientes que habilitaram os Blades de Anti-Bot e Antivírus em seus gateways da Check Point automáticas recebem informações atualizadas contra o Criptolocker através do ThreatCloud. A Check Point recomenda que os clientes habilitem o modo de Prevenção do Anti-Bot e Antivírus como parte das suas políticas de Prevenção contra Ameaças.
A Check Point detectou diversos países afetados por esse tipo de malware, como os Estados Unidos, Reino Unido, Filipinas e alguns países da América Latina, como o Peru, Equador, Colômbia, México, Venezuela, Brasil e Bolívia.
