Saltar para o conteúdo principal
ransomware-securityINFO

E-mails falsos da Interpol espalham ransomware, mas a chave de desencriptação está lá dentro

Uma campanha de ransomware faz-se passar pela Interpol para atacar pequenas empresas através de um arquivo no Proton Drive. A falha: a função de desencriptação e a chave viajam dentro do malware, por isso recuperar sem pagar é possível.

Por Eric Gerard · Editor · Save My Disk8 min de leituraPhoto via Unsplash

Uma nova campanha de ransomware faz-se passar pela Interpol para pressionar pequenas empresas a infetarem-se a si próprias. Os investigadores da Bitdefender, cujos relatos foram ecoados por meios como SC Media, Infosecurity e Hackread, descrevem e-mails que se fazem passar por uma "Interpol Cybercrime Investigation Unit" oficial e alegam que é necessária uma resposta urgente para colaborar numa investigação a problemas de conformidade ou segurança. O engodo é a autoridade e o medo. A realidade é uma tentativa desajeitada de enganar o destinatário para que execute malware.

Há uma reviravolta invulgar que muda toda a resposta a dar. Quem está por trás desta campanha construiu o seu ransomware tão mal que a ferramenta necessária para reverter a cifragem, e a chave que usa, viajam dentro do próprio malware. Esse único erro volta a colocar em cima da mesa a recuperação sem pagar.

Como é a campanha da falsa Interpol

A mensagem chega como um e-mail disfarçado de aviso oficial. Usa o nome Interpol e o rótulo inventado de uma "Cybercrime Investigation Unit", e insiste na urgência: a cooperação do destinatário seria supostamente necessária para uma investigação em curso sobre uma questão de conformidade ou segurança. Essa encenação procura curto-circuitar o discernimento. Um funcionário assustado que acredita estar a ser vigiado por um organismo policial internacional é mais propenso a clicar primeiro e a pensar depois.

O e-mail não transporta a carga diretamente. Em vez disso aponta para uma ligação do Proton Drive onde está alojado um arquivo protegido por palavra-passe, e fornece prestativamente a palavra-passe no corpo da mensagem. Os arquivos protegidos por palavra-passe são um truque de evasão comum: muitos scanners de e-mail e de endpoint não conseguem inspecionar o conteúdo de um arquivo cifrado, pelo que o ficheiro malicioso passa pelos filtros que de outro modo o marcariam.

Como funciona a cadeia de infeção

Assim que a vítima descarrega o arquivo e introduz a palavra-passe fornecida, não encontra um documento. Encontra mais arquivos aninhados lá dentro. Camada após camada, o empacotamento mantém a carga real enterrada, o que dificulta ainda mais a análise automatizada e faz o objeto parecer um inofensivo conjunto de ficheiros.

No fundo do aninhamento está o ransomware, disfarçado de ficheiro de vídeo. A engenharia social mantém-se coerente até ao fim: um destinatário a quem disseram que isto diz respeito a uma investigação espera examinar provas, por isso um "vídeo" parece plausível. Quando a vítima tenta reproduzir esse vídeo, o executável arranca. Em vez de imagens, começa a cifrar os ficheiros nas unidades disponíveis e deixa uma nota de resgate a exigir pagamento.

Fluxos de código verde deslizam por um ecrã de computador escuro
Fluxos de código verde deslizam por um ecrã de computador escuro

A cadeia é deliberadamente estratificada mas não sofisticada. Cada passo, a falsa autoridade, o alojamento de ficheiros fora da plataforma, a palavra-passe fornecida, os arquivos aninhados, o disfarce de vídeo, é um truque já conhecido. O que torna a campanha notável não é a sua inteligência, mas a seleção de alvos e um erro de implementação que se vira contra os atacantes.

A falha decisiva: a chave de desencriptação está dentro do malware

Eis o detalhe que mais importa a qualquer vítima. Segundo os investigadores que analisaram as amostras, este ransomware transporta tanto a sua função de desencriptação como a chave necessária dentro do próprio malware. Numa estirpe bem construída, a chave que desbloquearia os teus ficheiros é gerada na infraestrutura do atacante e nunca toca na tua máquina, e é precisamente por isso que pagar pode parecer a única opção. Esta campanha faz o contrário.

Como a lógica de desencriptação e a chave estão presentes localmente, é tecnicamente possível recuperar os ficheiros cifrados sem negociar com os atacantes nem pagar-lhes. É um defeito grave no design dos atacantes. Também significa que fabricantes como a Bitdefender estão bem posicionados para publicar um desencriptador gratuito construído a partir desse material embutido, e que parceiros de antivírus e policiais o podem adicionar ao catálogo público de ferramentas gratuitas.

Para ser claro quanto aos limites: extrair uma chave embutida em segurança é trabalho de analistas de malware, não algo a improvisar a partir de um artigo de blogue. Não tentes desmontar a amostra por ti próprio. A conclusão prática é mais simples e igualmente importante: não pagues, porque a cifragem usada aqui não é do tipo inquebrável em que assenta um ransomware implementado corretamente.

Quem está a ser visado

A campanha aponta às pequenas e médias empresas mais do que aos consumidores, e chega a várias regiões. Os investigadores observaram alvos nos Estados Unidos, na Europa, na Ásia e no Médio Oriente, abrangendo um vasto conjunto de setores, incluindo tecnologia, finanças, serviços jurídicos, agroalimentar, farmacêutica e media. Essa dispersão sugere uma distribuição oportunista em vez de uma lista de vítimas escolhida a dedo.

As pequenas empresas são um alvo apetecível por uma razão. Muitas vezes não têm uma equipa de segurança dedicada, o pessoal pode estar menos treinado contra a personificação, e o choque de um aparente aviso da Interpol pode derrubar a cautela habitual. Os atacantes apostam nessa falha. Uma equipa bem informada, pelo contrário, deteta a fraude logo na primeira linha: uma polícia verdadeira não envia "provas" de uma investigação como arquivo protegido por palavra-passe a partir de uma nuvem de consumo.

O que fazer se receberes um destes e-mails

Se uma mensagem destas chegar à tua caixa, trata-a como hostil e não interajas com a carga:

  1. Não descarregues o arquivo e não abras nenhum ficheiro no seu interior. O ransomware dispara ao abrir o falso vídeo, por isso o mais seguro é nunca chegar a esse passo.
  2. Não respondas e não uses nenhum contacto presente no e-mail. A marca Interpol é falsa, e qualquer "unit" nomeada na mensagem é uma invenção.
  3. Isola qualquer máquina que já tenha descarregado ou aberto o ficheiro: desliga o cabo de rede, desativa o Wi-Fi e desconecta as unidades externas para limitar a propagação.
  4. Reporta-o à tua equipa de TI ou segurança e à tua autoridade nacional de cibercrime. Se precisares de verificar um pedido policial genuíno, contacta o organismo pelos seus canais públicos oficiais, nunca através do e-mail.

O que fazer se os teus ficheiros já estão cifrados

Se a carga já foi executada e os teus ficheiros estão bloqueados, a resposta segue o protocolo padrão do ransomware, com um fator animador: o design defeituoso desta estirpe torna realista uma recuperação gratuita. Avança com calma, passo a passo.

Começa por isolar a máquina e fotografar a nota de resgate e a extensão dos ficheiros cifrados. Depois identifica a estirpe com precisão: o nosso guia de identificação com o ID Ransomware explica como carregar uma amostra e a nota para determinar exatamente o que te atingiu. Uma identificação correta é o que permite encontrar ou construir um desencriptador adequado.

A seguir, consulta as ferramentas gratuitas oficiais. Como a chave está embutida, um desencriptador para esta família é viável, por isso consulta o portal No More Ransom e a página de ferramentas gratuitas da Bitdefender. O nosso guia pilar sobre como desencriptar ransomware sem pagar explica como encontrar, verificar e testar em segurança um desencriptador oficial numa cópia antes de o executar em larga escala. Se ainda não existir uma ferramenta para a tua amostra exata, guarda os ficheiros cifrados num disco externo limpo e volta a verificar, porque as ferramentas para estirpes defeituosas costumam surgir.

Se tiveres uma cópia de segurança limpa e desligada anterior ao ataque, restaurá-la é o caminho fiável mais rápido. Seja qual for o caminho, não pagues o resgate: o pagamento financia a operação, marca-te como alvo fácil e é desnecessário quando a própria cifragem é reversível. Para a resposta completa passo a passo e as opções de recuperação, consulta os nossos guias sobre o que fazer quando os teus ficheiros estão cifrados por ransomware e como recuperar ficheiros após ransomware.

Como uma pequena empresa se pode blindar

Esta campanha triunfa através das pessoas, não de brilhantismo técnico, por isso as defesas mais fortes são organizacionais. Forma o pessoal para desconfiar de qualquer mensagem não solicitada que diga ser da polícia e peça para descarregar um ficheiro protegido por palavra-passe, e torna normal parar para verificar em vez de reagir à urgência. Bloqueia, sempre que possível, os tipos de anexo de risco e os arquivos protegidos por palavra-passe no gateway de e-mail, pois é exatamente a evasão em que esta campanha assenta.

Mantém cópias de segurança offline ou imutáveis para que mesmo uma cifragem bem-sucedida seja um incómodo e não uma crise, e testa que consegues realmente restaurar a partir delas. Por fim, estabelece uma regra simples: todo o contacto real de uma agência policial é verificado pelos canais nacionais oficiais, nunca por uma ligação, um anexo ou um número de telefone fornecidos num e-mail inesperado. Esses hábitos neutralizam o medo que esta falsa campanha da Interpol foi concebida para explorar.

Guias relacionados

Escolha editorial
4.5 / 5

Faz cópia agora para travar o ransomware → EaseUS Todo Backup

Backups automáticos · clone de disco · cópia offline

Fundada em 2004Garantia de 30 diasVersão gratuita de 2 GB
Ver a oferta

Perguntas frequentes

O e-mail falso da Interpol vem mesmo da Interpol?

Não. A Interpol não abre investigações enviando às empresas um arquivo protegido por palavra-passe alojado no Proton Drive. A organização coordena as polícias nacionais através de Gabinetes Centrais Nacionais oficiais, nunca pedindo a uma empresa que descarregue e descompacte um ficheiro para 'colaborar numa resposta urgente'. Qualquer e-mail que diga ser de uma 'Interpol Cybercrime Investigation Unit' com um anexo e uma palavra-passe é uma fraude.

Porque é que importa que este ransomware esteja mal construído?

Porque os investigadores descobriram que a função de desencriptação e a chave de que precisa estão embutidas diretamente no malware. Em princípio, isso significa que a cifragem pode ser revertida sem contactar nem pagar aos atacantes, e que um fabricante como a Bitdefender pode criar um desencriptador gratuito a partir dessa falha. É o oposto de uma estirpe implementada corretamente, onde a chave privada permanece no servidor do atacante e a recuperação é matematicamente impossível.

Devo abrir o anexo para ver do que se trata?

Não. Nunca abras o arquivo nem o ficheiro disfarçado de vídeo lá dentro. O ransomware é acionado quando a vítima tenta reproduzir o falso vídeo. Se já recebeste o e-mail, não descarregues nada, isola qualquer máquina que lhe tenha tocado e reporta a mensagem à tua equipa de TI ou à autoridade nacional de cibercrime.

Os meus ficheiros já estão cifrados. O que faço agora?

Isola a máquina afetada da rede, fotografa a nota de resgate, identifica a estirpe com o ID Ransomware e consulta o portal No More Ransom à procura de um desencriptador gratuito antes de mais nada. Como a chave está embutida neste malware, um desencriptador público é tecnicamente viável. Restaura a partir de uma cópia de segurança limpa se tiveres uma, e não pagues.

É obra de um grande grupo de ransomware?

Os investigadores avaliam que esta campanha é mais provavelmente obra de um indivíduo ou pequeno grupo pouco sofisticado do que de uma operação de ransomware estabelecida. A entrega que reutiliza o Proton Drive, os arquivos aninhados, o invólucro de falso vídeo e sobretudo a chave de desencriptação embutida denunciam competência limitada. A arma principal é o medo, a intimidação de um falso aviso policial, mais do que a força técnica.

Como pode uma pequena empresa evitar este ataque?

Trata como hostil qualquer e-mail não solicitado que diga ser da polícia e peça para descarregar um ficheiro com uma palavra-passe fornecida. Bloqueia no gateway os anexos de risco, arquivos e executáveis, mantém cópias de segurança offline ou imutáveis e verifica qualquer contacto policial real através dos canais nacionais oficiais, nunca através de uma ligação no e-mail. A sensibilização do pessoal é aqui a medida mais eficaz.