Ransomware aposta na encriptação parcial

Os ransomwares mais recentes estão a usar encriptação parcial para acelerar o processo e dificultar a sua detecção.

O ransomware é uma das pragas mais irritantes do mundo digital moderno, encriptando os ficheiros das vítimas e exigindo um resgate para que possam ser recuperados. Esses dados podem conter documentos importantes, décadas de fotos e vídeos, e outras coisas que podem ser insubstituíveis no caso de não se ter um backup. Mas, encriptar gigabytes de dados é algo que demora tempo e pode denunciar a presença do ransomware, motivo pelo qual os atacantes estão a optar por uma nova técnica.

Em vez de encriptarem completamente os ficheiros, os ransomwares mais recentes estão a usar uma técnica de encriptação parcial.

Com este sistema, em vez de encriptarem completamente um ficheiro, encriptam apenas alguns blocos de dados a intervalos regulares, resultando num ficheiro que se mantém inutilizável pela vítima, mas com a grande vantagem de ser um processo substancialmente rápido e que, por reduzir a quantidade de dados que têm que ser escritos, torna também mais difícil a sua detecção por ferramentas que considerassem suspeito reescrever um ficheiro por completo.

Por exemplo, no caso do ransomware Black Basta, para ficheiros com mais de 4 KB, o sistema encripta 64 bytes e depois deixa 128 bytes intocados, reduzindo a quantidade de escritas a um terço do que seria necessário para a encriptação total - o que, por outro lado, significa que será também três vezes mais rápido a encriptar os dados da vítima.

Um destes dias ainda vamos começar a ver estes grupos de ransomware a anunciar como vantagens a maior eficiência energética do seu algoritmo de encriptação...