Nova ameaça sequestra dados dos usuários e cobra em moeda virtual pelo resgate

Por Redação | 22 de Março de 2014 às 12h40
photo_camera gualtiero boffi

Foto:gualtiero boffi/Shutterstock

Foi descoberta uma nova variante de uma ameaça conhecida como BitCrypt, um ransomware que encripta os arquivos no computador da vítima. Para recuperar o arquivo, exige-se do usuário o pagamento de cerca de 0,4 BTC (Bitcoins), o equivalente a aproximadamente R$ 580.

A ameaça pode chegar via e-mail, por meio de redes P2P (Peer-to-Peer) ou ainda pode ser baixada por outras ameaças. Uma vez que seu componente principal é inadvertidamente executado pelo usuário, os seguintes tipos de arquivos são buscados em todos os discos conectados à máquina e são encriptados:

*.dbf *.mdb *.mde *.xls *.xlw *.docx *.doc *.cer *.key *.rft *.xlsm *.xlsx *.txt *.docm
*.xlk *.text *.ppt *.djvu *.pdf *.lzo *.djv *.cdx *.cdt *.cdr *.bpg *.xfm *.dfm *.pas
*.dpk *.dpr *.frm *.vbp *.php *.js *.wri *.css *.asm *.jpg *.jpeg *.dbx *.dbt *.odc
*.sql *.abw *.pab *.vsd *.xsf *.xsn *.pps *.lzh *.pgp *.arj *.gz *.pst *.xl

Da lista, constam documentos, imagens, certificados digitais, arquivos comprimidos, arquivos de bancos de dados e até arquivos de código-fonte de programas e sistemas web. Após encriptar os arquivos utilizando o algoritmo RSA e uma chave de 1024 bits gerada aleatoriamente, o ransomware os renomeia, adicionando a extensão “.bitcrypt2” a cada um dos arquivos encriptados.

BitCrypt

Em seguida, o ransomware se exclui e exibe uma mensagem de infecção por meio da configuração de um novo papel de parede no Windows.

BitCrypt

O ransomware também cria um arquivo texto com instruções em dez idiomas diferentes, incluindo o português, o que sugere que infecções no Brasil já eram esperadas.

BitCrypt

Além da encriptação, o modo seguro é desabilitado e a abertura do Gerenciador de Tarefas é indisponibilizada, dentre outras tentativas de autopreservação.

Conforme instruções no arquivo texto, os cibercriminosos buscam convencer a vítima a ir a um website no qual deve ser inserido o ID de infecção para que instruções de pagamento sejam exibidas. A vítima é orientada a criar uma carteira virtual a fim de pagar aos criminosos que, após confirmarem o pagamento, supostamente enviariam a chave e um programa para desencriptar os arquivos e recuperá-los.

Há uma versão anterior deste ransomware que utiliza chaves criptográficas de 426 bits, consideradas mais fracas e passíveis de quebra, mas esta nova versão permanece ameaçadora. Dentre os países mais afetados na América Latina está o Peru, seguido do Brasil.

Existe um serviço de detecção deste ransonware oferecido pela Trend Micro, que também oferece o serviço gratuito de verificação HouseCall.

Fique por dentro do mundo da tecnologia!

Inscreva-se em nossa newsletter e receba diariamente as notícias por e-mail.