Breve Estudo Sobre Ransomwares e Análise Estática/Dinâmica do WannaCry
Os ransomwares são malwares que impedem que o detentor legítimo dos arquivos de acessar seus dados. A liberação dos dados só é efetivada mediante pagamento, normalmente realizado em Bitcoins por não ser rastreável. Esta categoria de malware explora vulnerabilidades específicas do sistema alvo, buscando criptografar recursivamente os dados e bloquear o acesso a eles.
Parte 3: Fatores Históricos
Neste ponto, já foi discutido o conceito fundamental de ransomware, o impacto deles na sociedade, economia e o procedimento tradicional de infecção mostrado em [7], para aqueles baseados em criptografia. Durante a história, os ransomwares foram modelados de acordo com o contexto histórico e tecnológico ao qual estavam inseridos.
O estudo do histórico é fundamental, visto que entendendo o contexto, podemos prever quando certos métodos poderão voltar a ser utilizados [8].
O primeiro ataque classificado como do tipo ransomware, no qual métodos de extorsão são utilizados, tem registro datado em 1989 e é conhecido como PC CYBORG ou AIDS information Trojan. O malware é um Cavalo de Tróia que substitui o arquivo "autoexec.bat" de sistemas MS-DOS e conta a quantidade de vezes que o sistema é reinicializado.
Quando alcançada 90 reinicializações, todos os arquivos do diretório raiz são criptografados e finalmente uma mensagem dizendo que o sistema está infectado é emitida [10]. Na época, esse vírus foi espalhado com a utilização de um disquete contendo um conteúdo de fachada, que quando inserido na máquina alvo, executava o código do malware.
Em 2006 surgiu o CryZip, ransomware que busca compactar arquivos de documentos (txt, doc, rft etc), arquivos de banco de dados e arquivos multimídia em um arquivo ZIP protegido por senha. A chave de descriptografia usada para o arquivo ZIP é armazenada no arquivo Cryzip. A chave de decodificação pode ser baixada dinamicamente para a nova versão do Cryzip [10].
Nesse período o método de transmissão de malware mais utilizado, era a emissão de pop-ups que infectavam o alvo caso após o clique. Em 2010, os ataques baseados em ransomwares atingiram um novo patamar, pois as plataformas mobile também se tornaram alvos desse tipo de ataque [11].
Em meados dos anos 2013 e 2014, uma onda de ataques ransomware foi identificada ao redor do mundo, em decorrência de uma série de fatores:
Com o histórico aqui apresentado, percebemos que de acordo com o contexto histórico e tecnológico em questão, os ransomwares evoluíram. O patamar ao qual esse tipo de malware alcançou atualmente é realmente preocupante, tendo em vista a facilidade de desenvolvimento do código e as diferentes formas de transmissão.
Na próxima seção foram introduzidas as principais formas de propagação e infecção.
O estudo do histórico é fundamental, visto que entendendo o contexto, podemos prever quando certos métodos poderão voltar a ser utilizados [8].
O primeiro ataque classificado como do tipo ransomware, no qual métodos de extorsão são utilizados, tem registro datado em 1989 e é conhecido como PC CYBORG ou AIDS information Trojan. O malware é um Cavalo de Tróia que substitui o arquivo "autoexec.bat" de sistemas MS-DOS e conta a quantidade de vezes que o sistema é reinicializado.
Quando alcançada 90 reinicializações, todos os arquivos do diretório raiz são criptografados e finalmente uma mensagem dizendo que o sistema está infectado é emitida [10]. Na época, esse vírus foi espalhado com a utilização de um disquete contendo um conteúdo de fachada, que quando inserido na máquina alvo, executava o código do malware.
Em 2006 surgiu o CryZip, ransomware que busca compactar arquivos de documentos (txt, doc, rft etc), arquivos de banco de dados e arquivos multimídia em um arquivo ZIP protegido por senha. A chave de descriptografia usada para o arquivo ZIP é armazenada no arquivo Cryzip. A chave de decodificação pode ser baixada dinamicamente para a nova versão do Cryzip [10].
Nesse período o método de transmissão de malware mais utilizado, era a emissão de pop-ups que infectavam o alvo caso após o clique. Em 2010, os ataques baseados em ransomwares atingiram um novo patamar, pois as plataformas mobile também se tornaram alvos desse tipo de ataque [11].
Em meados dos anos 2013 e 2014, uma onda de ataques ransomware foi identificada ao redor do mundo, em decorrência de uma série de fatores:
- Primeiramente, foram criadas ferramentas que facilitavam o desenvolvimento de um cryptolocker;
- Outro ponto, é o conhecimento do poderio das criptomoedas que facilitavam a não rastreabilidade do pagamento;
- Transmissão do ransomware através da rede, permitindo que se espalhe com mais facilidade.
Com o histórico aqui apresentado, percebemos que de acordo com o contexto histórico e tecnológico em questão, os ransomwares evoluíram. O patamar ao qual esse tipo de malware alcançou atualmente é realmente preocupante, tendo em vista a facilidade de desenvolvimento do código e as diferentes formas de transmissão.
Na próxima seção foram introduzidas as principais formas de propagação e infecção.
<---------------------------------------------------------------->
O seu tempo é o único bem que você não recupera