Ataque encripta arquivos de usuário e pede resgate em Bitcoins


A Trend Micro, empresa japonesa de softwares de segurança, publicou um alerta para uma nova variante de uma ameaça conhecida como BitCrypt, um ransomware que encripta os arquivos no computador da vítima. O golpe funciona como extorsão: para recuperar o arquivo, o usuário deve pagar cerca de 0.4 BTC (bitcoins), o equivalente a aproximadamente R$ 580.

A ameaça pode chegar via e-mail, por meio de redes de troca de arquivos entre usuários (P2P, na sigla em inglês) ou ainda pode ser baixada por outras ameaças. Uma vez que seu componente principal é inadvertidamente executado pelo usuário, vários tipos de arquivo são buscados em todos os discos conectados à máquina e encriptados. A lista dos arquivos que podem ser “sequestrados” é extensa e incluir os mais usados.

Na lista, constam documentos, imagens, certificados digitais, arquivos comprimidos, arquivos de bancos de dados e até arquivos de código-fonte de programas e sistemas web. Após encriptar os arquivos utilizando o algoritmo RSA e uma chave de 1024 bits gerada aleatoriamente, o ransomware os renomeia, adicionando a extensão “.bitcrypt2” a cada um dos arquivos encriptados. Em seguida, o ransomware se exclui e exibe uma mensagem de infecção por meio da configuração de um novo papel de parede no Windows.

PUBLICIDADE

O ransomware também cria um arquivo texto com instruções em dez idiomas diferentes, incluindo o português, o que sugere que infecções no Brasil já eram esperadas. Também é desabilitado o modo seguro, além de ficar indisponível a abertura do Gerenciador de Tarefas, dentre outras tentativas de autopreservação.

Conforme instruções no arquivo texto, os cibercriminosos buscam convencer a vítima a ir a um website no qual deve ser inserido o ID de infecção para que instruções de pagamento sejam exibidas. A vítima é orientada a criar uma carteira virtual a fim de pagar aos criminosos que, após confirmarem o pagamento, supostamente enviariam a chave e um programa para desencriptar os arquivos e recuperá-los.

Há uma versão anterior deste ransomware que utiliza chaves criptográficas de 426-bits, consideradas mais fracas e passíveis de quebra, mas esta nova versão permanece ameaçadora, informou a TredMicro. Dentre os países mais afetados na América Latina estão o Peru, seguido do Brasil.

Anterior Novos contratos de concessão devem provocar queda importante na tarifa da telefonia fixa, a partir de 2016
Próximos Paraná muda a política de inclusão digital e desagrada provedores