Ransomware que tem como alvo o sistemas GNU/Linux, exige resgate de US$200 mil, mas não vai descriptografar seus arquivos
O que você faria se um ransomware infectasse sua máquina? Você pagaria o resgate para recuperar seus arquivos ou não?
Acredite, alguns órgãos de segurança como o FBI, aconselham a pagar os criminosos caso você não tenha feito o backup de seus arquivos.
Mas pagar um resgate a criminosos cibernéticos definitivamente não é uma opção sábia, porque não há garantia de que você receberá a chave de descriptografia em troca.
Recentemente, uma nova variante do ransomware KillDisk foi encontrada criptografando máquinas GNU/Linux, tornando-as inacessíveis.
O que é KillDisk? KillDisk é um malware que visa apagar qualquer arquivo na máquina em que está. Esse malware foi utilizado para prejudicar empresas apagando de forma aleatória os arquivos das máquinas em que estavam instalados.
O KillDisk foi utilizado para sabotar várias estações de energia na Ucrânia em 2015, causando um apagão no país.
Mas de acordo com a equipe de segurança do ESET, o KillDisk está de volta com novas variantes que têm como alvo os desktops e servidores Windows e GNU/Linux, ele criptografa os arquivos presentes na máquina e, em seguida, pede um resgate absurdo!
Cerca de US$200.000 ou R$640.200 na cotação atual – possivelmente um dos pedidos de resgates mais caros do mundo.
Sabe o que é pior? A variante do KillDisk que visa as máquinas GNU/Linux, não armazena a chave de criptografia em qualquer lugar no disco ou servidor de comando e controle.
Assim, mesmo depois de pagar este resgate extremamente grande, você não obterá nenhuma chave de descriptografia para a recuperação de seus arquivos.
A boa notícia é que os pesquisadores da ESET descobriram uma fraqueza na criptografia empregada pela variante GNU/Linux, o que torna possível a recuperação dos arquivos criptografados, embora seja difícil. Mas a mesma falha não existe na variante que visa os sistemas Windows.
O malware, após realizar a criptografia, exibe a nota de resgate de uma maneira incomum: dentro do boot-loader GRUB, o que significa que o ransomware para os sistemas GNU/Linux substitui as entradas do boot-loader para mostrar texto de resgate que pede às vítimas para pagar o valor de 222 Bitcoin.
Mas pagar o resgate de criminosos não trará seus arquivos de volta, pois a variante do GNU/Linux não armazena chaves de descriptografia em qualquer lugar.