Ransomware usa instalador de antivírus como disfarce para atacar arquivos

Por Felipe Demartini | 13 de Maio de 2019 às 14h27

Uma nova variante do ransomware Dharma se faz passar por um instalador de antivírus enquanto criptografa os dados dos usuários. A nova praga, descoberta pelos especialistas da Trend Micro, chega por e-mail e utiliza métodos já conhecidos e comprovadamente eficazes, alertando um usuário sobre a possibilidade de comprometimento do Windows e indicando uma ferramenta para verificação.

A curiosidade ou a ingenuidade dos usuários é recompensada quando o arquivo executável anexado se faz passar pelo ESET AV Remover, uma ferramenta da empresa de segurança que limpa o sistema de instalações anteriores de softwares de segurança para que o próprio possa rodar sem problemas. Entretanto, o que o usuário acredita ser uma medida de proteção, na realidade, é exatamente o oposto, já que os arquivos do PC estão sendo criptografados em segundo plano, sem que ele perceba.

Uma vez que o processo é finalizado, o uso do computador é bloqueado e o usuário passa a ver apenas uma mensagem informando sobre o “sequestro”, que pede o contato por um e-mail e que a vítima informe um código, para que seja passado o valor em Bitcoins. Os criminosos apostam, mais uma vez, na ingenuidade, afirmando que o preço será menor quanto mais cedo for realizado o contato (de forma que o usuário não tente tomar outras medidas para resolver a questão) e afirmam até que um arquivo pode ser enviado para verificação de que a liberação de todos os outros será efetivamente feita.

Participe do nosso Grupo de Cupons e Descontos no Whatsapp e garanta sempre o menor preço em suas compras de produtos de tecnologia.

O golpe não parece ter atuação direcionada, sendo disseminado aleatoriamente por e-mail, sem nenhum foco específico, como sistemas empresariais ou sensíveis. Outra prova disso é que nem mesmo um endereço direto de carteira de Bitcoin é enviado, o que indica um malware enviado de maneira randômica, com os criminosos atuando diretamente apenas junto às vítimas que “caírem” na rede.

Nova variante de ransomware se disfarça de aplicativo de segurança e pede resgate em Bitcoins (Imagem: Reprodução/Trend Micro)

A ESET confirmou o uso de sua aplicação nesta modalidade de ransomware e disse que, assim como o próprio software foi usado, qualquer outro poderia, uma vez que o executável é iniciado sem modificações, apenas acompanhado do malware em si. A empresa de segurança corroborou o relatório da Trend Micro e alertou seus usuários sobre o funcionamento da tentativa de ataque, que é comum entre quadrilhas que usam o ransomware como arma.

Sendo assim, é importante deixar claro que o pagamento não deve ser realizado em hipótese alguma, pois não há nenhuma garantia de que os arquivos serão efetivamente liberados após isso. No caso de uma execução equivocada do malware, o ideal é procurar ajuda especializada para possível liberação dos dados ou, então, executar uma formatação completa, aceitando o risco de perder tudo.

Por isso mesmo, o ideal é se prevenir. Jamais abra arquivos executáveis recebidos por e-mail e mensageiros instantâneos, mesmo que elas tenham vindo de serviços reconhecidos ou contatos próximos. Na dúvida, procure sites oficiais e serviços de atendimento para confirmar a necessidade de rodar os anexos e tenha sempre soluções de segurança ativas e atualizadas funcionando tanto no computador quanto no celular.

Fonte: Trend Micro

Gostou dessa matéria?

Inscreva seu email no Canaltech para receber atualizações diárias com as últimas notícias do mundo da tecnologia.