Erro de programação em praga digital impede que arquivos sejam recuperados, segundo especialista.
Por Altieres Rohr, G1
Postado em 22 de março de 2019 às 17h00m
/i.s3.glbimg.com/v1/AUTH_59edd422c0c84a879bd37670ae4f538a/internal_photos/bs/2019/h/l/oLxGvhSxW1FOBS5pcmig/jnec.jpg "Praga digital oferece a foto de uma mulher em um arquivo do WinRAR, mas na verdade explora falha de segurança e embaralha os arquivos do computador — Foto: 360 Threat Intelligence Center/Twitter/Reprodução")
Praga digital oferece a foto de uma mulher em um arquivo do WinRAR, mas na verdade explora falha de segurança e embaralha os arquivos do computador — Foto: 360 Threat Intelligence Center/Twitter/Reprodução
Postado em 22 de março de 2019 às 17h00m
Praga digital oferece a foto de uma mulher em um arquivo do WinRAR, mas na verdade explora falha de segurança e embaralha os arquivos do computador — Foto: 360 Threat Intelligence Center/Twitter/Reprodução
Um vírus de resgate batizado de "JNEC.a" está se aproveitando de uma vulnerabilidade do programa WinRAR que afeta todas as versões do programa nos últimos 19 anos. Os criminosos tentam convencer a vítima a descompactar um arquivo "ACE" e, caso isso seja feito, o computador será contaminado com o vírus de resgate na próxima vez em que o computador for ligado ou reiniciado.
Um "vírus de resgate" é um tipo de praga digital que embaralha os dados presentes no computador, tornando-os ilegíveis. Para concretizar a fraude, o programa informa à vítima que um pagamento deve ser realizado para retornar os arquivos ao seu estado original e recuperar os dados que estavam computador.
O "JNEC.a" foi encontrado pelo laboratório de pesquisa da fabricante de antivírus chinesa Qihoo. Os criminosos colocaram uma foto de uma mulher dentro de um arquivo compactado no formato ACE. Quando a suposta foto é aberta, o arquivo malicioso é descompactado ao mesmo tempo para a pasta "Inicializar" do Windows. Isso vai garantir que ele seja executado na próxima vez que o Windows for iniciado.
O arquivo malicioso possui a extensão ".rar" e não ".ace". Por isso, não há qualquer meio fácil para uma vítima saber que está abrindo um arquivo do formato problemático. Isso é possível porque o WinRAR lê arquivos conforme seu conteúdo e não sua extensão — ou seja, desde que seja aberto pelo WinRAR, qualquer arquivo, de qualquer extensão, será lido como ACE se tiver esse formato internamente.
Normalmente, abrir arquivos compactados e fotografias não é uma atividade que pode contaminar o computador com vírus. Porém, por causa da vulnerabilidade, essa atividade se torna arriscada.
A recomendação para os usuários do WinRAR é instalar a versão mais nova do programa. O software não é mais capaz de ler arquivos em formato ACE, não importa o nome que apresente em sua extensão.
Arquivos não podem ser recuperados
Segundo o site "Bleeping Computer", uma análise do vírus realizada pelo especialista Michael Gillespie apontou a existência que de uma falha de programação que impede totalmente a recuperação dos dados. Isso não chega a atrapalhar os criminosos — nenhuma vítima que faz o pagamento tem qualquer garantia de que a promessa de recuperar os dados será cumprida.
No entanto, isso significa que, na prática, quem for atacado por esse vírus terá seus dados destruídos de forma irrecuperável.
Embora muitos vírus de resgate funcionem como o prometido — permitindo a recuperação dos arquivos mediante um pagamento —, casos como este demonstram a importância de manter cópias de segurança (backup) dos arquivos e de adotar medidas preventivas contra ataques, como manter os programas atualizados.
Apesar da recuperação não ser possível, o JNEC.a traz um método curioso para que a vítima entre em contato com os criminosos. Enquanto embaralha os arquivos, o vírus gera um endereço de e-mail do Gmail que deve ser cadastrado pela vítima. Após a realização do pagamento, os criminosos supostamente entram em contato com o e-mail gerado para que a vítima possa receber as instruções.
Esse método de contato evita que o criminoso perca o canal (e-mails fixos usados por vírus de resgate são desativados pela maioria dos provedores) ou que a vítima precise acessar a deep web para contatar os criminosos.
Dúvidas sobre segurança, hackers e vírus? Envie para g1seguranca@globomail.com
/i.s3.glbimg.com/v1/AUTH_59edd422c0c84a879bd37670ae4f538a/internal_photos/bs/2018/b/A/zLi8TSQha3DFu9kfIOeg/altieres-rohr.png "Selo Altieres Rohr — Foto: Ilustração: G1")
