Header Ads

  • Últimas

    Um dos vírus mais agressivos procura vítimas no Brasil

    O Crypt888 é um arquivo malicioso que se enquadra na categoria de ransomware, ou seja, ele criptografa todo o conteúdo do HD da vítima e cobra um “resgate” para a devolução de dados. Após atingir usuários na Itália e República Tcheca, o Crypt888 chega ao Brasil e agora busca por novas vítimas.

    O vírus foi descoberto em junho de 2016 por pesquisadores da Avast!, conhecida empresa de antivírus. De lá pra cá, o ransomware já foi visto em pelo menos três línguas. Sua aparição mais recente foi em português e apresentava instruções de pagamento em bitcoins, uma forma de dinheiro virtual e não rastreável.


    Uma faceta peculiar deste vírus é que boa parte de seu código é o mesmo. Uma das poucas alterações foi o papel de parede que é instalado no computador da vítima e que traz as instruções para o pagamento do resgate. Todas as outras partes do código, como o algoritmo de criptografia, a chave de criptografia, nomes de arquivos e demais partes do código permanecem as mesmas. Estas informações estão em um script chamado “Autolt”.
    No total, os pesquisadores da Avast já descobriram cinco versões deste malware. A primeira delas foi em 22 de junho de 2016 e parecia ser apenas uma versão de testes. O vírus mudava o papel de parede do usuário para uma imagem do Guy Fawkes, símbolo do grupo hacktivista Anonymous e nele tinha uma mensagem que acusava a vítima de ter roubado uma certa quantia em bitcoins, mas não trazia nenhuma informação sobre como o pagamento do resgate deveria ser feito.



    Em 08 de Julho, uma nova versão foi encontrada, com modificações no papel de parede. A história do roubo havia sumido, porém ainda não existia informações sobre contas bancárias ou bitcoins. Até que em 29 de julho foi encontrada a versão italiana do vírus.
    O papel de parede agora estava com uma mensagem em italiano e com erros ortográficos –  o que sugere uma tradução automática. Sendo assim, os criadores do vírus não são italianos. O código do arquivo foi ofuscado, mas permanecia essencialmente o mesmo. Mesmo assim, ainda não havia nenhuma informação de como o pagamento poderia ser efetuado. Dessa maneira, as vítimas italianas estavam com seus arquivos criptografados mas sem saber como fazer o resgate.
    Em 21 de setembro, a versão tcheca é descoberta. Apesar do código ser o mesmo das versões anteriores, a mensagem mudou bastante. Nela, os criadores do vírus tentam enganar as vítimas afirmando que eles são, na verdade, o ransomware Petya – que ainda não tem um método válido para descriptografia.

    Isso servia para desestimular usuários que tentassem buscar alguma saída online.  O valor de resgate era de 0,8 bitcoins, o que dá um valor aproximado de US$ 480. Além disso, agora as vítimas tinham um prazo de apenas cinco dias para pagarem. Porém, nenhuma penalidade era estipulada para caso o prazo não fosse cumprido.

    Por fim, em outubro, foi descoberta a versão brasileira. Novamente, a mensagem havia sido traduzida de maneira automática para nosso idioma, mas estava mais detalhada. O valor cobrado por eles é de R$ 2.000 e há, inclusive, um guia que ensina como comprar bitcoins. Felizmente, como o código do malware não foi alterado, os pesquisadores do Avast conseguiram desenvolver uma solução que funciona para todas as versões do Crypto888.

    Nenhum comentário

    Post Top Ad

    Post Bottom Ad

    Info Drive