Novo crypto-ransomware Locky usa macros maliciosas do Word

Recentemente foi descoberto um novo tipo de crypto-ransomware usando um método de distribuição incomum. Chamado de “Locky“, a variante de ransomware se infiltra no sistema através de uma macro maliciosa encontrada em um documento do Word. Embora ransomware que dependem de macros raramente terem sido vistos, a técnica de distribuição pode estar ligada ao famoso malware bancário DRIDEX, que usa métodos semelhantes.

O Locky entra nos sistemas das vítimas por emails disfarçado de fatura, com um documento Word anexado contaminado com macros maliciosas. Segundo pesquisadores, na linha de assunto do email vem escrito: ATTN: Invoice J-98223146 com uma mensagem dizendo, “Por favor, veja a fatura anexa (Documento Word da Microsoft) e remeta o pagamento de acordo com os termos listados na parte de baixo da fatura”.

Dada sua natureza perigosa, as macros são desabilitadas pela Microsoft por padrão. Ativar macros, como nota seu boletim de segurança, “torna o computador vulnerável a códigos possivelmente maliciosos e não é recomendado”. Quando as macros são ativadas e o documento baixado é aberto, a instalação do malware começa. A vítima desavisada verá linhas de texto incompreensíveis aconselhando os usuários a “Ativar a macro se a codificação de dados estiver incorreta“.

O arquivo executável do malware Locky é baixado de um servidor da web. Depois de instalado, ele começa a procurar arquivos anexados (inclusive driver de rede) e criptografa arquivos como documentos, imagens, vídeos, arquivos, base de dados e outros arquivos relacionados a aplicações da web. Os arquivos criptografados serão renomeados com uma extensão “.locky”. Muito parecido com outras variantes de ransomware, uma nota de resgate em variados idiomas é deixada em todos os diretórios que foram criptografados. A mensagem direciona as vítimas para uma rede Tor para fazerem pagamentos em Bitcoins (0,5 BTC).

Pesquisadores da Palo Alto Networks registraram 466.000 sessões envolvendo esse novo ransomware, mais da metade dos quais (54%) afetando vítimas nos Estados Unidos. A Trend Micro detecta essa variante de ransomware como RANSOM_LOCKY.A . Além dos Estados Unidos, ele foi visto globalmente, inclusive em países como Japão, Alemanha, França, Itália, Reino Unido, México, Espanha, Israel e Índia.

Uma análise mais detalhada feita por nossos pesquisadores mostra que além de ter alguns downloaders de macros, parece haver similaridades na forma como os downloaders de macros do DRIDEX e do Locky são codificados. Ambos usam o mesmo nome de arquivo (ladybi.exe) quando baixados no sistema.

Além disso, nossos pesquisadores se depararam com uma ligação entre o Locky e outras variantes crypto-ransomware. O Locky, CRYPTESLA E CRYLOCK são compactados pelo mesmo sistema packer. Isso pode significar que essa ferramenta é usada pelo mesmo distribuidor, ou que esse packer está disponível e acessível para diferentes autores de ransomware.

Infecções de ransomware continuam uma forma de ataque paralisante e eficaz usada para extorquir enormes somas dos alvos. Um dos incidentes mais notáveis foi um ataque de ransomware muito divulgado, que paralisou os sistemas e redes do Hollywood Presbyterian Medical Center (um hospital dos EUA) por mais de uma semana. A administração do hospital, mais tarde, admitiu ter pago o resgate de 40 Bitcoins, ou $17.000 dólares, para restaurar os sistemas afetados. Os primeiros relatórios diziam que o resgate seria de $3,6 milhões de dólares e o hospital depois corrigiu esse número em um memorando oficial.