Dharma Ransomware

Imagine você chegar em plena quarta-feira de cinzas depois de ter desfrutado de paz e descanso ou de uma bela festa de carnaval e se deparar com seu sistema na empresa inacessível ou com o seu computador pessoal totalmente sem seus documentos e sem seus sistemas estarem funcionando ? Sim, isso mesmo, várias empresas foram atacadas na cidade de Governador Valadares (MG) e região do leste mineiro pelo MALWARE conhecido DHARMA RANSOMWARE na sexta-feira dia 24/02/2017 até 27/02/2017.

MALWARE

Palavra originada do termo em inglês MALicious softWARE, é um programa destinado a se infiltrar em um computador de forma ilícita, com o intuito de causar algum dano ou roubo de informações.

RANSOMWARE

O ransomware é um tipo de malware que realiza o sequestro dos dados que estão no computador da vítima, não retira nenhuma informação, porém, realiza a codificação dos arquivos de forma que o usuário não tenha mais acesso a eles.

Na maioria dos casos, somente são descobertos quando codificam todos seus arquivos em todos seus discos, isso mesmo, o malware vai ter acesso a todos os seus discos no seu computador e fazer a codificação de todos os arquivos que encontrar, vai deixar um arquivo no formato TEXTO ou de uma IMAGEM para que você possa abrir, nele estará o aviso que codificou todos seus arquivos e deverá entrar em contato com ele por um e-mail.

Quando você entra em contato, ele responde avisando que seu sistema estava vulnerável e que codificou todos os seus arquivos e que deverá pagar um resgate para ter um programa que fará o processo de descodificação de todos os seus arquivos. Esse resgate é pago com uma moeda virtual chamada BITCOIN, 

BITCOIN

É uma moeda virtual que você compra ou vende através de um site igual uma bolsa de venda de ações. O valor do BITCOIN depende do dia e da hora da cotação, da mesma forma que acontece com qualquer moeda tradicional. Para se ter uma idéia 1 Bitcoin ou apenas 1 BTC como é chamado tem o valor aproximadamente de US$ 1.200 (Hum mil e duzentos dólares americanos).

A compra e a venda dessa moeda é legal e não tem nada a ver com os criminosos, o detalhe que dificulta o rastreamento do dinheiro é a forma de como esse sistema realiza as transferências dessa moeda entre as contas, tornando o processo de rastreabilidade impossível.

Um dos sites mais famosos usados para compra e venda da moeda BTC é o LocalBitcoins.

DHARMA RANSOMWARE

A primeira versão do Dharma Ransomware foi desenvolvido em 2016, e já se espalhou pelo mundo, ele é um malware de criptografia que utiliza alguns endereços de e-mail em seu nome para se comunicar com suas vítimas. Atualmente são conhecidas 3 variáveis desse malware, usando os seguintes endereços de e-mail para se comunicar com suas vítimas,

  • bitcoin143@india.com
  • worm01@india.com
  • oron@india.com

Depois que ele inicia o ataque ele acrescenta a cada arquivo atacado a e-mail dele e seu nome, este malware preserva os nomes dos arquivos, pois existem malwares que mudam os nomes dos arquivos ficando impossível você se lembrar o que tinha no disco.

ARQUIVO_DO_WORD.DOCX.[oron@india.com].dharma
ARQUIVO_DO_EXCEL.XLSX.[oron@india.com].dharma

Querendo ou não, este ransomware é criado com base em Dharma e Greg série de TV que ainda está para ser confirmada, mas com certeza faz lembrar dela.

MODO DE CONTAMINAÇÃO

Até início do ano, os métodos conhecidos para contaminação eram através do usuário clicar em um e-mail aonde estivesse o malware anexado ou então em um link que você fosse direcionado para uma página e te levasse a abrir um arquivo infectado, a partir daí ele começaria a agir.

Depois do carnaval, muitas empresas em Governador Valadares (MG) e região foram atacadas com uma variante desse vírus que utiliza a porta 3389 para invadir o servidor, essa porta é utilizada pelos servidores das empresas para rodar o aplicativo Terminal Server, que é o utilizado para acesso remoto, algumas pessoas conhecem simplesmente pelo nome de Conexão de Área de Trabalho Remota. Não se sabe ainda qual a vulnerabilidade explorada pelo malware, mas o que se pode afirmar é que todas essas empresas usavam essa facilidade de acesso ao servidor de dados. Analisando diversas empresas atacadas que possuíam firewall foi constatado inúmeras tentativas de invasão vindas de diversos endereços de IP pelo mundo diretamente nessa porta 3389, até conseguirem ter acesso ao servidor, uma vez dentro do servidor conseguiram inicializar o programa de codificação.

O programa faz uma varredura em todos os discos do computador infectado, se você tiver  então mais de um disco rígido (C:, D:,  F: e etc.. ou discos externos conectados na porta  USB como HD Externo ou Pendrives) o vírus vai ir para cada disco e fazer uma varredura completa codificando seus arquivos e deixando você sem nenhum acesso aos dados.

Algumas das empresas atacadas possuíam um backup que copiava todos as informações de um disco para outro, ou senão um HD Externo plugado no servidor realizando o backup a noite. Com isso os backups também foram codificados e ficaram inutilizados.



MODO DE RECUPERAÇÃO

Uma vez que seu computador foi atacado você tem as seguintes formas de solucionar:

  1. você tem um backup bem atualizado que você poderá restaurar e com isso seguir em frente como se nada tivesse acontecido;
  2. você tem um backup e o mesmo não está atualizado mas pelo volume de dados que você perdeu você prefere restaurar esse backup e refazer todo o trabalho até os dias atuais;
  3. você pode dar a sorte de que o ransomware que te atacou já possui uma solução na internet que faça a recuperação dos seus arquivos;
  4. você perdeu tudo mas nada tem interesse e pra você não faz diferença;
  5. você está disposto a pagar o resgate através da aquisição de um programa que o criminoso digital vai te vender pelo preço aproximadamente de 2 Bitcoin, ou seja, aproximadamente (R$ 7.800,00), mesmo sendo uma solução que muitos julgam que incentiva a ação dos criminosos, você acaba tendo que colocar na balança o que é melhor para sua empresa.

Independente do modo de recuperação que escolha lembre-se que o computador já foi atacado e que o malware ainda está nele. Tenha em mente que depois de decidir o melhor método de recuperação será necessário formatar a máquina para a eliminação total do malware.

PAGANDO O RESGATE

Se o método de recuperação for através do pagamento do resgate entenda como funciona. Independente da versão do malware todos funcionam da mesma forma.
  1. Você deve se cadastrar em um site que compra e vende a moeda virtual. O maior e mais conhecido deles é o LocalBitcoins, onde existem vários vendedores da moeda inclusive no Brasil. É necessário que você se identifique corretamente para comprar ou vender BTC escaneando seu Passaporte, sua Identidade ou a sua Carteira de Motorista. Porém isso não é necessário se você apenas vai fazer transferências entre BTC. Como você precisa comprar BTC você vai precisar se identificar.
  2. Depois terá que procurar algum vendedor para comprar  a quantidade de BTC exigida pelo criminoso. A vantagem desse site é que ao comprar a moeda BTC do vendedor escolhido, o site ficará com os BTC que você comprou em custódia até que o vendedor diga que recebeu o crédito realizado por você, você credita R$ na conta do comprador, que não tem nada haver com o criminoso digital. Se você dizer que pagou e o vendedor dizer que não, o site vai pedir a comprovação do pagamento e você comprovando fará a entrega dos BTC adquiridos mesmo sem o vendedor autorizar.
  3. Com os BTC na sua conta virtual você transfere para o criminoso. E aí começa a sua agonia para que ele faça a parte dele no acordo. Senão outro prejuízo acumulado. Se tudo der certo, você receberá um e-mail com um link aonde está um arquivo para ser baixado e executado no computador contaminado.
  4. O programa que você baixa não é o codificador em si ainda,  esse programa vai verificar quais chaves foram usadas para codificar seus arquivos e vai resultar em uma senha semelhante a essa: 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 
  5. Esse senha é apenas a chave que ele usou na codificação dos seus arquivos, você deve mandar ela para o criminoso, depois ele irá mandar uma outra chave que será a necessária para decodificar seus arquivos.
  6. Coloque a chave recebida no aplicativo e mande decodificar. Se a chave recebida for a correta todos os arquivos serão decodificados e você terá acesso a eles novamente.



COMO SE PROTEGER

A melhor maneira de se proteger envolve uma série de cuidados que as empresas e os usuários devem ter sempre em mente.

  1. Nunca abra os anexos de e-mails não conhecidos, e mesmo que seja de conhecidos, leia o texto e veja se realmente tem algo a ver com um e-mail escrito por alguém para você, O correio não avisa que tem mercadoria presa e que você tem que clicar para ver o código dela, o Ministério Público e nem a Delegacia tem nenhum crime contra você, o Detran não tem multa no seu nome, o Banco não pede nenhuma confirmação por e-mail. Desconfie sempre.
  2. Mantenha seus aplicativos (Windows e Anti-Vírus) atualizados sempre. Os cyber criminosos, usam vulnerabilidades descobertas e publicadas para atacar seu equipamento. 
  3. Em redes corporativas com servidores use firewalls para evitar ataques e determinar o que pode ou não ser usado na sua rede.
  4. Mas a melhor maneira ainda de se proteger é realizando o BACKUP dos seus dados.
Os empresários e usuários devem entender que o backup é um investimento para a sua empresa e até mesmo para sua vida pessoal, pesquise sistemas de backup realmente eficientes. Hoje no mercado existem soluções que estão ao alcance de todas as empresas. Imagine parar sua empresa porque seus dados desapareceram ? Ou você perdeu todas as suas fotos armazenadas no computador de seus filhos ou de sua viagens ao exterior ??
WhatsApp Atendimento Online