# Crypt0L0cker > Tipo: **ransomware** · [MITRE ATT&CK](https://attack.mitre.org/software/) ## Descrição [[crypt0l0cker|Crypt0L0cker]] (também conhecido como TorrentLocker) é uma família de ransomware ativa entre 2013 e meados dos anos 2010, precursora do ecossistema moderno de ransomware como serviço (RaaS). Embora distinta do [[cryptolocker|CryptoLocker]] original (baseado em Gameover Zeus), o nome similar gerou confusão frequente. O [[crypt0l0cker|Crypt0L0cker]] foi amplamente distribuído via campanhas de spam em múltiplos idiomas e países, com e-mails de phishing se passando por cobranças, notificações de entrega e comúnicações governamentais. O [[crypt0l0cker|Crypt0L0cker]] utiliza criptografia AES para cifrar arquivos da vítima e RSA para proteger a chave AES, tornando a recuperação sem o pagamento do resgaté práticamente impossível sem falhas de implementação. O malware realiza varredura de compartilhamentos de rede e dispositivos conectados para maximizar o impacto, e deleta shadow copies do Windows para impedir a recuperação via backups automáticos. O modelo de negócio utilizava Tor para comunicação anônima e bitcoin para pagamento, padrões que se tornaram industry standard no ransomware subsequente. O legado do [[crypt0l0cker|Crypt0L0cker]] é significativo: estabeleceu o modelo de negócio e os padrões técnicos que grupos modernos como [[lockbit|LockBit]], [[blackcat|BlackCat]] e [[dragonforce-ransomware|DragonForce]] continuam utilizando. A análise histórica do Crypt0L0cker fornece contexto fundamental para compreender a evolução do ransomware como ameaça. Sua distribuição via campanhas de spam em múltiplos idiomas, incluindo português, demonstra que o Brasil foi alvo desde os primórdios do ecossistema de ransomware moderno. **Plataformas:** Windows ## Técnicas Utilizadas - [[t1486-data-encrypted-for-impact|T1486 - Data Encrypted for Impact]] - [[t1566-001-spearphishing-attachment|T1566.001 - Spearphishing Attachment]] - [[t1490-inhibit-system-recovery|T1490 - Inhibit System Recovery]] - [[t1083-file-and-directory-discovery|T1083 - File and Directory Discovery]] - [[t1135-network-share-discovery|T1135 - Network Share Discovery]] - [[t1071-001-web-protocols|T1071.001 - Web Protocols]] ## Detecção - Monitorar criptografia em massa de arquivos com extensões de documentos comuns ([[t1486-data-encrypted-for-impact|T1486]]) - Detectar tentativas de exclusão de Volume Shadow Copies ([[t1490-inhibit-system-recovery|T1490]]) - Alertar sobre conexões Tor ou acesso a domínios .onion de estações de trabalho ([[t1071-001-web-protocols|T1071.001]]) - Identificar e-mails com anexos executáveis ou links para downloads disfarçados de faturas e cobranças ([[t1566-001-spearphishing-attachment|T1566.001]]) - Implementar backups offline imutáveis como controle de recuperação prioritário ## Relevância LATAM/Brasil O [[crypt0l0cker|Crypt0L0cker]] foi uma das primeiras famílias de ransomware com campanhas documentadas em português do Brasil, usando iscas de e-mail como notificações de DETRAN, Receita Federal e empresas de entrega. Isso estabeleceu o padrão de localização de campanhas de ransomware para o Brasil que persiste até hoje. O país é um dos alvos mais ativos de ransomware na América Latina, com grupos modernos como [[lockbit|LockBit]] e [[blackcat|BlackCat]] seguindo o modelo pioneirizado por campanhas que utilizavam o Crypt0L0cker. O estudo desta família histórica é essencial para analistas que desejam compreender a gênese das ameaças de ransomware no contexto brasileiro. ## Referências - [ESET - TorrentLocker Analysis](https://www.welivesecurity.com/2014/11/18/torrentlocker-crypto-ransomware-spreading-15-countries/) - [iSIGHT Partners - CryptoLocker/TorrentLocker](https://www.fireeye.com/blog/threat-research/2014/11/preventing-the-spread-of-ransomware.html)