Foi descoberta uma nova variante de uma ameaça conhecida como BitCrypt, um ransomware que encripta os arquivos no computador da vítima. Para recuperar o arquivo, exige-se do usuário o pagamento de cerca de 0,4 BTC (Bitcoins), o equivalente a aproximadamente R$ 580.
A ameaça pode chegar via e-mail, por meio de redes P2P (Peer-to-Peer) ou ainda pode ser baixada por outras ameaças. Uma vez que seu componente principal é inadvertidamente executado pelo usuário, os seguintes tipos de arquivos são buscados em todos os discos conectados à máquina e são encriptados:
| *.dbf | *.mdb | *.mde | *.xls | *.xlw | *.docx | *.doc | *.cer | *.key | *.rft | *.xlsm | *.xlsx | *.txt | *.docm |
| *.xlk | *.text | *.ppt | *.djvu | *.lzo | *.djv | *.cdx | *.cdt | *.cdr | *.bpg | *.xfm | *.dfm | *.pas | |
| *.dpk | *.dpr | *.frm | *.vbp | *.php | *.js | *.wri | *.css | *.asm | *.jpg | *.jpeg | *.dbx | *.dbt | *.odc |
| *.sql | *.abw | *.pab | *.vsd | *.xsf | *.xsn | *.pps | *.lzh | *.pgp | *.arj | *.gz | *.pst | *.xl |
Da lista, constam documentos, imagens, certificados digitais, arquivos comprimidos, arquivos de bancos de dados e até arquivos de código-fonte de programas e sistemas web. Após encriptar os arquivos utilizando o algoritmo RSA e uma chave de 1024 bits gerada aleatoriamente, o ransomware os renomeia, adicionando a extensão “.bitcrypt2” a cada um dos arquivos encriptados.
Em seguida, o ransomware se exclui e exibe uma mensagem de infecção por meio da configuração de um novo papel de parede no Windows.
O ransomware também cria um arquivo texto com instruções em dez idiomas diferentes, incluindo o português, o que sugere que infecções no Brasil já eram esperadas.
Além da encriptação, o modo seguro é desabilitado e a abertura do Gerenciador de Tarefas é indisponibilizada, dentre outras tentativas de autopreservação.
Conforme instruções no arquivo texto, os cibercriminosos buscam convencer a vítima a ir a um website no qual deve ser inserido o ID de infecção para que instruções de pagamento sejam exibidas. A vítima é orientada a criar uma carteira virtual a fim de pagar aos criminosos que, após confirmarem o pagamento, supostamente enviariam a chave e um programa para desencriptar os arquivos e recuperá-los.
Há uma versão anterior deste ransomware que utiliza chaves criptográficas de 426 bits, consideradas mais fracas e passíveis de quebra, mas esta nova versão permanece ameaçadora. Dentre os países mais afetados na América Latina está o Peru, seguido do Brasil.
Existe um serviço de detecção deste ransonware oferecido pela Trend Micro, que também oferece o serviço gratuito de verificação HouseCall.
via: http://canaltech.com.br
0 comentários:
Os comentários serão moderados antes de publicar! respondo todos, obrigado por comentar.