KIS 2014: Como vamos acabar com os vírus sequestradores

Hoje em dia, muitas pessoas de bem entregam seu precioso dinheiro aos criminosos devido aos chamados blockers (também conhecido como ransomware), uma forma especialmente sorrateira de malevolência. Mas não tenham medo, usuários Kaspersky: na nova versão do KIS, temos uma agradável surpresa esperando os cibervigaristas.

O princípio e tecnologia por trás dos blockers/ransomware são bastante simples.

Usando um dos vários meios disponíveis (por exemplo, através de uma vulnerabilidade de software), um programa malicioso é infiltrado em computador, que, em seguida, exibe uma foto (nada) divertida com um assustador texto, e bloqueia o desktop e janelas de todos os outros programas.

O desbloqueio só é possível (bem, era possível) , inserindo um código único, que só pode ser obtido a partir dos cyber-trapaceiros. E esse resgate custa uma taxa, por meio de números de SMS premium ou sistemas de pagamento on-line. Até você pagar o resgate, a máquina permanece seqüestrada – não importa o que você faça (incluindo Ctrl + Alt + Del ) , e não importa que programas você tente executar (incluindo antivírus) , tudo que você vê é algo como isto:

Ou … qualquer um dos milhares de outras telas de bloqueio semelhantes a estas, e para qualquer plataforma – incluindo o Windows e Mac.

Vários anos atrás houve uma epidemia de blockers na Rússia e nos países da ex-URSS, e em resposta os criadores desses vírus começaram a ser apanhados e enviados para a prisão. Calcula-se que o faturamento desse ramo da criminalidade informática foi superior a US$ 3 milhões em 2010 (há cálculos de até US$ 15 milhões), e o número de vítimas chegou às dezenas de milhões! E desse total de vítimas, algo como 5% efetivamente pagou aos chantagistas – que desenvolvem um gosto para o roubo e vida de luxo, ficam cada vez mais arrogantes, e inspiram-se para criar novos malware.

Calcula-se que o faturamento desse ramo da criminalidade informática foi superior a US$ 3 milhões em 2010 (há cálculos de até US$ 15 milhões)

No auge da epidemia, lançamos um desbloqueador gratuito, disponível como um aplicativo para dispositivos móveis e como um serviço web. Depois de introduzir o número de telefone ou a conta do chantagista, o deblocker gera um código de desbloqueio, trabalhando um pouco como ‘chamar um amigo’. Você acha que a epidemia de bloqueadores poderia ter sido detonada de uma vez por todas, mas na verdade não – os bandidos estavam apenas em aquecimento…

É verdade que, a julgar pelo número de visitas ao nosso serviço web, a escala do esquema em geral foi reduzido em 90%. MAS…o problema na verdade só piorou. Veja como:

Primeiro: o fenômeno inicialmente exclusivo da Rússia (pós-soviética) tornou-se global juntamente com números SMS premium e dinheiro eletrônico. Claro que os cibercriminosos foram capazes de se esconder da justiça estrangeira devido às peculiaridades burocráticas de cooperação internacional.

Segundo: naquele tempo, os bloqueadores eram “honestos” e após o pagamento do resgate eles realmente removiam o bloqueio (até que eles decidissem bloquear de novo). Nos dias de hoje não existe tal código de honra, e os banners ficam ali após o pagamento. E não só porque os bandidos são maus: de fato, não há realmente nenhum código nos blockers atuais para desbloqueio! Argh!

Então, o que deve ser feito?

Agora os usuários de KIS 2014 tem uma característica mais saudável, que é capaz de remover um bloqueador com a ajuda de apenas quatro dedos – os seus

Primeiro de tudo, com raríssimas exceções, ainda há a possibilidade de “intervenção cirúrgica” e remoção manual de bloqueadores com utilitários gratuitos, caso um antivírus deixe um ataque passar. Agora, se você ler a página desse link, vai entender que esse tipo de cirurgia está longe de ser fácil, e que precisa de ajuda de especialistas. Então, como estamos acostumados a fazer, decidimos rasgar o livro de regras que diz “especialista necessário”.

Agora os usuários de KIS 2014 tem uma característica mais saudável, que é capaz de remover um bloqueador com a ajuda de apenas quatro dedos – os seus. E a cereja no topo do bolo: sem essas raras exceções que mencionei.

Como?

Há alguns anos o KIS traz o recurso de teclado virtual. Este é um driver do sistema operacional que protege contra keylogging (gravação da digitação). Ou seja, mesmo se um computador está infectado com algum Trojan super-duper ou algo assim, suas tentativas de interceptar, por exemplo, suas senhas será em vão, pois as chaves não são pressionados fisicamente no teclado – mas no Teclado Virtual. Agora vamos usar esse recurso para combater os blockers também.

O Teclado Virtual impede os blockers de tomar o controle total sobre um teclado. Se o usuário digitar a combinação Ctrl + Alt + Shift + F4 (ou Ctrl + Alt + Del várias vezes) – o TV entende que há uma situação de emergência e instrui o KIS 2014 para iniciar o processo de desativação do ramnsoware. Ou, para ser mais preciso, ele aciona diferentes componentes antivírus (assinaturas e heurística ) para detectar a infecção e realizar uma limpeza dos processos ativos e registro do sistema, e desbloquear a tela. Então, temos de eliminar os restos do blocker, relançar o explorer.exe, e restaurar a chave ‘Iniciar’. Aliás, o cenário descrito de desativação do blocker compõe o conteúdo do nosso pedido de patente em fase de perícia.

posfácio

Há algum tempo, um americano 21 anos se tornou uma vítima deblocker. Eis o que ele encontrou em sua tela :

O rapaz se entregou para a polícia. Em seguida, descobriram que de fato havia pornografia infantil em seu PC. Bem, como dizem, você colhe o que planta…

LEIA COMENTÁRIOS 0
Deixe um comentário.