VirtuAllIT Solutions
Proteção de Dados

Obscura Ransomware: Um Estudo de Caso sobre Perda de Dados em Ataques de Ransomware

Veeam
04 de dezembro de 2025
8 min de leitura
Compartilhar:
Obscura Ransomware: Um Estudo de Caso sobre Perda de Dados em Ataques de Ransomware

Ransomware Obscura: Um Estudo de Caso Sobre a Perda de Dados por Ransomware

Negócios | 19 de Novembro de 2025 | 5 min de leitura

Por Bill Siegel

Sumário

  • Por Que os Dados Não São Recuperados
  • Onde o Ransomware Obscura Quebra os Dados
  • Recon Revela Falhas no Ransomware Obscura
  • A Validação Técnica Não é Negociável
  • A Realidade Ampla
  • Principais Lições para as Organizações:

“Se você pagar o resgate, receberá seus arquivos de volta?” Esta é uma pergunta onipresente que a maioria dos blogs de segurança e pesquisas de fornecedores falham em responder corretamente. Uma busca rápida online trará uma dúzia de estatísticas contraditórias. Por que essa pergunta é tão difícil de responder?

A verdade é que as estatísticas de resultados variam drasticamente de caso para caso, e médias amplas são inúteis para tomar decisões críticas em tempo real. A maioria das pessoas presume que a causa da perda de dados relacionada ao ransomware se deve a threat actors que roubam deliberadamente o dinheiro do resgate e não fornecem as chaves de descriptografia. Isso, na verdade, não é verdade. A perda de dados geralmente decorre de falhas de codificação escritas de forma descuidada no próprio ransomware.

Essas falhas vêm em muitas formas e tamanhos diferentes, mas um erro comum envolve o encryptor embaralhando os bytes do arquivo e falhando em salvar as chaves necessárias em elementos do arquivo que permitem a descriptografia, tornando a recuperação impossível mesmo com a chave de descriptografia correta.

Por Que os Dados Não São Recuperados

Veja como o processo de criptografia deveria funcionar: quando o binary do ransomware é executado pelo threat actor, ele cria uma chave “simétrica” rápida e de uso único para cada arquivo e usa essa chave para criptografar o arquivo. Chaves simétricas são usadas porque podem criptografar arquivos grandes rapidamente.

Uma vez que o arquivo é criptografado, o malware criptografa essa pequena chave de uso único com a chave pública do atacante e a armazena no final do arquivo — juntamente com um marcador reconhecível e alguns metadata básicos — em uma seção chamada footer. Enquanto esse footer estiver presente e correto, a chave privada do atacante pode descriptografar a chave de uso único, e essa chave pode então ser usada para restaurar o arquivo ao seu formato original.

Mas se o footer estiver faltando ou danificado, essa chave de uso único está efetivamente perdida — e o arquivo nunca poderá ser recuperado, mesmo que a vítima pague por uma ferramenta de descriptografia.

Onde o Ransomware Obscura Quebra os Dados

Uma variante de ransomware recém-identificada, Obscura, contém exatamente essa falha. Ao criptografar arquivos grandes, ela falha em escrever a chave temporária criptografada no footer do arquivo. Para arquivos com mais de 1GB, esse footer nunca é criado — o que significa que a chave necessária para a descriptografia é perdida. Esses arquivos são permanentemente irrecuperáveis.

Aqui está uma amostra de um arquivo criptografado pequeno. Observe o filemarker “OBSCURA!” e a chave criptografada salva no final do arquivo.

[Imagem 1: Representação de um arquivo criptografado pequeno com footer válido.]

Aqui está um arquivo criptografado grande. Observe que não há filemarker ou footer. (O footer não está presente em lugar algum no arquivo.)

[Imagem 2: Representação de um arquivo criptografado grande sem footer.]

Essa falha tem grandes implicações para as vítimas, particularmente ao depender de testes de “proof-of-life” ao negociar com threat actors. Esses testes geralmente envolvem o envio de um pequeno arquivo criptografado ao threat actor para descriptografia. O problema é que essas amostras quase nunca incluem arquivos grandes, e arquivos grandes são os mais propensos a serem danificados por falhas no código do ransomware.

Sem uma visão aprofundada do comportamento de uma família de ransomware, as vítimas nem sequer sabem quais tamanhos ou categorias de arquivos deveriam testar. No caso do Obscura, a menos que você envie um arquivo com mais de 1GB, você nunca descobrirá que esses arquivos são tratados de forma diferente — ou que são irrecuperáveis por design.

Recon Revela Falhas no Ransomware Obscura

A ferramenta proprietária da Coveware by Veeam, Recon, fecha essa lacuna de visibilidade. O Recon escaneia arquivos criptografados em escala e verifica a presença de file markers válidos, chaves criptografadas e outros metadata necessários para uma descriptografia bem-sucedida. Ele pode determinar quais arquivos estão devidamente criptografados, quais estão danificados ou malformados e quais arquivos nunca foram criptografados.

Executar o Recon em todos os dados criptografados pode identificar imediatamente arquivos que estão permanentemente corrompidos, incluindo modos de falha comuns que afetam arquivos grandes: footers ausentes, gravações incompletas, crashes durante a criptografia e erros de tamanho de inteiro (integer-size errors) de ransomware que nunca foi testado contra dados de múltiplos gigabytes. Se os únicos dados insubstituíveis de que uma vítima precisa caírem em uma dessas categorias de falha, não há justificativa para pagar um resgate.

Abaixo está uma captura de tela do que a ferramenta Recon retorna em uma amostra de arquivos criptografados pelo Obscura com mais de 1GB de tamanho.

[Imagem 3: Screenshot da ferramenta Recon mostrando a ausência do footer e um file marker inválido.]

Observe que o Recon encontrou o footer ausente e o classificou como um file marker inválido. O Recon também é capaz de resumir o volume total de arquivos escaneados e a proporção que é verificada como devidamente criptografada, danificada e não criptografada.

[Imagem 4: Screenshot da ferramenta Recon mostrando o resumo do volume de arquivos escaneados.]

A engenharia reversa (reverse-engineering) do código do Obscura confirma o problema: o malware só escreve seu footer se o ponteiro do arquivo (file pointer) atingir o final físico do arquivo.

[Imagem 5: Trecho de código do Obscura mostrando a lógica condicional para escrita do footer.]

As organizações precisam de uma visão clara e acionável sobre quais dados podem e não podem ser recuperados muito antes do início das negociações de resgate. A ferramenta Recon da Coveware by Veeam fornece essa visibilidade. O Recon realiza uma avaliação técnica de arquivos criptografados em escala, permitindo que as organizações determinem rapidamente:

  • Quais arquivos foram realmente criptografados e quais permanecem intactos.
  • Quais arquivos contêm markers, chaves e metadata válidos necessários para a descriptografia.
  • Quais arquivos já estão irrecuperáveis devido a falhas do ransomware — como arquivos grandes sem footers no caso do Obscura.

A Validação Técnica Não é Negociável

Como o Recon é alimentado pela contínua engenharia reversa de variantes de ransomware feita pela Coveware by Veeam, ele entende como diferentes categorias de arquivos devem se comportar, quais modos de criptografia cada variante usa e onde a corrupção é mais provável de aparecer. Essa percepção é o que torna a validação do Recon significativa, em vez de superficial.

Esse nível de clareza permite que as vítimas:

  • Tomem decisões informadas sobre negociações de resgate, apoiadas por evidências em vez de garantias do atacante.
  • Estabeleçam expectativas realistas e baseadas em dados para executivos e equipes de incident response.
  • Direcionem os esforços de recuperação para backups ou reconstruções, em vez de gastar tempo — ou dinheiro — em dados que não podem ser salvos.

A falha do Obscura reforça uma verdade simples: as organizações não podem confiar em “criminosos honestos” para garantir a recuperação de dados. A validação técnica não é negociável. Muitas vítimas hesitam em admitir que foram alvo de ransomware, e muitas ainda presumem que pagar restaurará seus dados — mas o Obscura mostra quão perigosa é essa suposição. Essa variante destrói arquivos grandes completamente, sem possibilidade de recuperação. Aumentar a conscientização é importante, pois sem ela, as vítimas podem, sem saber, pagar por dados que já se foram.

A Realidade Ampla

Ferramentas como o Recon permitem que as organizações verifiquem independentemente o verdadeiro estado de seus dados antes de tomar decisões irreversíveis. O Recon pode revelar corrupção que os testes de proof-of-life nunca detectarão, especialmente em casos como o Obscura, onde arquivos grandes — muitas vezes os arquivos mais críticos — são os mais propensos a serem danificados.

Ao mesmo tempo, as organizações precisam entender a realidade mais ampla: os threat actors observam análises como esta. Eles leem ativamente análises técnicas, estudam fluxos de trabalho de incident response e atualizam seu código quando falhas ou bugs são expostos. Esse constante vaivém é precisamente o motivo pelo qual a validação confiável, repetível e específica para a variante é essencial — não testes únicos, não suposições e não promessas do atacante.

Principais Lições para as Organizações:

  • Invista em planejamento de incident response e ferramentas de validação técnica antes que um incidente ocorra — e não depois.
  • Após um ataque de ransomware, avalie minuciosamente os arquivos criptografados para entender as opções reais de recuperação.
  • Use análises independentes e cientes da variante para guiar as decisões de resgate — nunca confie em testes de proof-of-life, promessas do atacante ou estatísticas de marketing desatualizadas.

Precisa de ajuda com suas soluções de TI?

A VirtuAllIT Solutions oferece consultoria especializada em virtualização, cloud computing e infraestrutura tecnológica.