A ESET está emitindo um alerta para uma família de ransomwares chamada GandCrab, que apareceu pela primeira vez este ano e agora está classificada no Top 5 das famílias mais detectadas dessa espécie. Devido às suas características, os ransomwares dessa família estão entre os mais problemáticos para os usuários. Globalmente, cinco dos 10 países com o maior número de detecções do GandCrab são latino-americanos: Peru (45,2%), México (38%), Equador (17,2%), Colômbia (9, 9%) e Brasil (8,7%). A propagação deste ransomware agora está sendo feita principalmente em arquivos de crack. Em especial arquivos que suportamente irão crackear Adobe Acrobat ou MS Office, além de editores de áudio, jogos como Minecraft, CounterStrike, Starcraft e Bejeweled 3 ou soluções de segurança.
O Laboratório de Pesquisa da ESET analisou o GandCrab e descobriu que ele tenta criptografar arquivos com extensões diferentes, como: MS Office, OpenOffice, PDF, arquivos de texto, bancos de dados, fotos, música, vídeo e arquivos de imagem. Quando o arquivo chega ao computador da vítima e é executado, são coletadas informações do dispositivo, como o nome do computador, o endereço IP e o nome do usuário, entre outras informações. Antes de criptografar os dados, o ransomware se encarrega de finalizar todos os processos que podem estar usando os arquivos a serem criptografados. Desta forma, ele se assegura de que será capaz de criptografar o maior número de arquivos possível. Neste ponto, o processo de criptografia começa, seguido pela deleção de cópias de backup do sistema operacional até que a mensagem de extorsão seja exibida.
Após o ataque, o dispositivo da vítima tem suas informações completamente criptografadas e impossíveis de recuperar. Os únicos casos em que é possível reaver os dados são: 1) quando a vítima tem backup em outro dispositivo ou na nuvem; 2) caso tenha sido vítima de versões anteriores do ransomware que já foram desvendadas; 3) ou caso tenha feito o pagamento aos cibercriminosos para recuperar a informação. Este último caso nunca é a melhor opção, pois na maioria das vezes o usuário não recebe suas informações de volta.
Mais de 25% das variantes analisadas pela ESET durante os primeiros meses de 2018 contaminaram as vítimas por meio de engenharia social alegando atualização de fontes tipográficas para o sistema operacional. A partir de maio, a quantidade de arquivos aumentou consideravelmente, chegando a pelo menos 2000 diferentes.