Total de visualizações de página

terça-feira, 15 de novembro de 2016

Todas as caras do ransomware Crypt888; vírus busca vítimas no Brasil


Felipe Alencar
por
Para o TechTudo

15/11/2016 08h00 - Atualizado em 15/11/2016 14h27
Postado em 15 de novembro de 2016 às 23h15m
GIPOPE - GARIBA'S Logística for 2012 - 2013
O Crypt888 é um arquivo malicioso que se enquadra na categoria de ransomware, ou seja, ele criptografa todo o conteúdo do HD da vítima e cobra um resgate para a devolução de dados. Após atingir usuários na Itália e República Tcheca, o Crypt888 chega ao Brasil e agora busca por novas vítimas.

Trabalhe conosco: falsos sites de vagas de empregos espalham vírus
O vírus foi descoberto em junho de 2016 por pesquisadores da Avast!, conhecida empresa de antivírus. De lá pra cá, o ransomware já foi visto em pelo menos três línguas. Sua aparição mais recente foi em português e apresentava instruções de pagamento em bitcoins, uma forma de dinheiro virtual e não rastreável.
Mensagem trazida pelo vírus Crypt888 (Foto: Divulgação/Avast)
Mensagem trazida pelo vírus Crypt888 (Foto: Divulgação/Avast)

Uma faceta peculiar deste vírus é que boa parte de seu código é o mesmo. Uma das poucas alterações foi o papel de parede que é instalado no computador da vítima e que traz as instruções para o pagamento do resgate.

Todas as outras partes do código, como o algoritmo de criptografia, a chave de criptografia, nomes de arquivos e demais partes do código permanecem as mesmas. Estas informações estão em um script chamado Autolt.

No total, os pesquisadores da Avast já descobriram cinco versões deste malware. A primeira delas foi em 22 de junho de 2016 e parecia ser apenas uma versão de testes. 

O vírus mudava o papel de parede do usuário para uma imagem do Guy Fawkes, símbolo do grupo hacktivista Anonymous e nele tinha uma mensagem que acusava a vítima de ter roubado uma certa quantia em bitcoins, mas não trazia nenhuma informação sobre como o pagamento do resgate deveria ser feito.
Papel de parede com a imagem de Guy Fawkes com mensagem para a vítima (Foto: Divulgação/Avast)
Papel de parede com a imagem de Guy Fawkes com mensagem 
para a vítima (Foto: Divulgação/Avast)

Aplicativo do TechTudo: receba as melhores dicas e últimas notícias no seu celular
Em 08 de Julho, uma nova versão foi encontrada, com modificações no papel de parede. A história do roubo havia sumido, porém ainda não existia informações sobre contas bancárias ou bitcoins. Até que em 29 de julho foi encontrada a versão italiana do vírus.

O papel de parede agora estava com uma mensagem em italiano e com erros ortográficos –  o que sugere uma tradução automática. Sendo assim, os criadores do vírus não são italianos. 

O código do arquivo foi ofuscado, mas permanecia essencialmente o mesmo. Mesmo assim, ainda não havia nenhuma informação de como o pagamento poderia ser efetuado. Dessa maneira, as vítimas italianas estavam com seus arquivos criptografados mas sem saber como fazer o resgate.

Em 21 de setembro, a versão tcheca é descoberta. Apesar do código ser o mesmo das versões anteriores, a mensagem mudou bastante. Nela, os criadores do vírus tentam enganar as vítimas afirmando que eles são, na verdade, o ransomware Petya – que ainda não tem um método válido para descriptografia.
Isso servia para desestimular usuários que tentassem buscar alguma saída online.  O valor de resgate era de 0,8 bitcoins, o que dá um valor aproximado de US$ 480. Além disso, agora as vítimas tinham um prazo de apenas cinco dias para pagarem. Porém, nenhuma penalidade era estipulada para caso o prazo não fosse cumprido.

Qual é o melhor antivírus grátis? Veja no Fórum do TechTudo.  

Por fim, em outubro, foi descoberta a versão brasileira. Novamente, a mensagem havia sido traduzida de maneira automática para nosso idioma, mas estava mais detalhada. 

O valor cobrado por eles é de R$ 2.000 e há, inclusive, um guia que ensina como comprar bitcoins. Felizmente, como o código do malware não foi alterado, os pesquisadores do Avast conseguiram desenvolver uma solução que funciona para todas as versões do Crypto888.

Nenhum comentário:

Postar um comentário