O CryptXXX é um ransomware, no mínimo, interessante pois os ficheiros existentes no PC e de qualquer dispositivo de armazenamento instalado são encriptados logo após a infeção. Os criminosos usam esse espaço de tempo para confundir as vítimas e diminuírem as opções de identificação dos sites que espalham o malware.

Terminado o bloqueio, o Trojan cria três ficheiros: um de texto, uma imagem e uma página HTML. A imagem é colocada como wallpaper da área de trabalho (para garantir que a vítima entenda o que está a acontecer). A página na web é aberta no navegador, enquanto o ficheiro de texto é mantido no disco rígido.

A vítima é assim informada que os seus ficheiros foram encriptados com o auxílio de um RSA4096, um algoritmo forte – e os criminosos pedem o pagamento de 500 dólares em bitcoins pelo que sejam desbloqueados os dados. O utilizador tem de instalar o Tor e clicar no link do manual, que abre um site com instruções detalhadas e o canal de pagamento, apresentando inclusive um “FAQ”…

O CryptXXX não se fica apenas pela encriptação de ficheiros e inclui ainda mais alguns “truques na manga” roubando, por exemplo, bitcoins e quaisquer informações que possam ser úteis para os cibercriminosos.

Os especialistas da Kaspersky Labs meteram mãos à obra e conseguiram desenvolver um software que permite desbloquear o computador e eliminar este malware.

O RannohDecryptor, assim se chama a ferramenta criada pelos especialistas russos, foi inicialmente criada para desbloquear ficheiros encriptados pelo ransomware Rannoh. Com o tempo, foram adicionadas novas funcionalidades que têm vindo a revelar-se bastante uteis e que permitem desbloquear os ficheiros infetados pelas atividades do CryptXXX.

Para recuperar os ficheiros, as vitimas precisarão de aceder a pelo menos um dos ficheiros bloqueados, seguido dos seguintes passos:

1. Descarregara ferramenta e executá-la.
2. Após a instalação, abrir em “Configurações” e escolher o tipo de unidade (amovível, rede ou disco rígido) que deve ser verificada. Não deve ativar a opção “Apagar os ficheiros encriptados após o desbloqueio” até que o utilizador tenha acesso à 100% dos seus ficheiros.
3. De seguida deve ter um ficheiro que não tenha sido afetado pelo malware e em “Start Scan” , selecionar onde está localizado esse ficheiro ou todos os que tenha em cópia com a extensão .crypt. Em seguida, a ferramenta vai pedir os ficheiros originais.
4. Depois, o RannohDecryptor começará a pesquisar as correspondências na extensão “.crypt” e tentará desbloquear todos os ficheiros. Quanto maior o número de cópias dos ficheiros originais o utilizador possuir, mais ficheiros poderão ser desencriptados.

Como é habitual, existem algumas regras que ajudam os utilizadores a manterem-se mais seguros enquanto navegam na internet. Entre elas destacamos três:

1. Realizar backups de forma regular.
2. Instalar todas as atualizações críticas do sistema operativo nos seus dispositivos assim como as atualizações dos browers utilizados. O pacote do exploit Angler usado pelo CryptXXX aproveita as vulnerabilidades de software para conseguir infiltrar o ransomware.
3. Instale uma solução de segurança adequada.

Com estas dicas, estará sempre mais seguro e, certamente, evitará males maiores. A Kaspersky publicou uma série de informações sobre ransomware e que podem ser encontradas aqui.