O que é CryptoLocker?
O CryptoLocker é um malware que pode causar sérios danos a empresas que dependem de dados. Após a execução do código, ele criptografa arquivos em computadores e pastas compartilhadas na rede, mantendo-os “reféns” até que um resgate seja pago. O usuário é alertado de que precisa pagar para descriptografar os arquivos e acessá-los.
Esses malwares, como o CryptoLocker, podem se infiltrar em redes protegidas por meio de vários vetores, incluindo e-mails, sites de compartilhamento de arquivos e downloads. Suas novas variantes conseguiram escapar das tecnologias de antivírus e firewalls. Por esse motivo, é recomendável adotar uma segunda linha de defesa, como controle de acesso e correções, para evitar problemas causados por hosts infectados.
Mas o que exatamente o CryptoLocker faz?
Durante a execução, ele verifica as unidades de rede mapeadas e os hosts aos quais está conectado para acessar pastas e documentos. Em seguida, ele renomeia e criptografa os arquivos que possuem permissões de acesso específicas, conforme as credenciais do usuário que executou o código.Para criptografar os arquivos, o vírus utiliza uma chave RSA de 2048 bits e adiciona uma extensão específica, como “.encrypted” ou “.criptolocker”, dependendo da variante. Além disso, o malware cria um arquivo em cada diretório afetado, contendo instruções para descriptografar os arquivos e exigindo que o usuário efetue um pagamento.
O que fazer para previnir?
Para prevenir o CryptoLocker, é importante restringir o acesso a arquivos. Quanto mais arquivos uma conta de usuário tiver acesso, maior o potencial de danos causados pelo malware. Embora não seja uma solução rápida, reduzir a exposição removendo grupos de acesso globais desnecessários das listas de controle de acesso é uma medida prudente. Grupos como “Todos”, “Usuários autenticados” e “Usuários de domínio” podem expor a hierarquia de arquivos a riscos desnecessários.
