Primeiro Ransomware brasileiro

ransomware_brasilNão demorou muito para que os cibercriminosos brasileiros começassem a desenvolver suas próprias versões de ransomware com funções de cifragem dos arquivos existentes no computador da vítima. Esta semana encontramos o primeiro vírus do tipo desenvolvido no Brasil – o país foi o quarto mais atacado por esse tipo de malware em 2015.

Em meados de 2009 tivemos o caso do Byteclark, que ficou conhecido como o primeiro “Ransomware-like” brasileiro. Porém, este não possuía nenhuma função de criptografia de arquivos, somente impedia o uso de programas específicos – o que o classificava na verdade como um Blocker.

O ransomware brasileiro foi disseminado em sites brasileiros, se apresentando como suposta atualização do plugin Adobe Flash Player. Mas, ao invés de desenvolver um ransomware por si, os criminosos brasileiros utilizaram o código do Hidden Tear, que está publicado no GitHub – só precisaram customizar e começar a distribuir o malware.

Assim que executado, o malware verifica se o arquivo com a senha gerada existe na pasta do usuário. Caso contrário, ele gera uma nova senha e a salva em um arquivo de texto, assim como se autocopia para a mesma pasta.

A chave gerada é randômica e tem 15 caracteres. Ela fica armazenada no computador para que seja possível decifrar os arquivos com a ferramenta enviada após o pagamento.

O malware criptografa todos os arquivos localizados na área de trabalho do computador infectado e também os que tenham determinadas extensões.

O malware utiliza o algoritmo AES 256 para encriptar os arquivos. Eles recebem a extensão “.locked” e seu conteúdo não pode mais ser acessado.

O malware então envia uma mensagem para o usuário informando que os dados foram sequestrados. O texto traz um link para uma explicação de como efetuar o pagamento do resgate, no valor de R$ 2 mil -a serem pagos usando a moeda criptográfica Bitcoin.

Agradecemos ao Davi e ao Paulo Sollo, colaboradores amigos do seu micro seguro, pela referência a essa notícia.

Fonte: Kaspersky blog

Comentários encerrados.

%d blogueiros gostam disto: