ransomware

Cibercrime brasileiro cria seu primeiro vírus sequestrador

Por Thiago Marques, pesquisador do GReAT Não demorou muito para que os cibercriminosos brasileiros começassem a desenvolver suas próprias versões de ransomware com funções de cifragem dos arquivos existentes no

Marvin the Robot
14 jan 2016

Por Thiago Marques, pesquisador do GReAT

Não demorou muito para que os cibercriminosos brasileiros começassem a desenvolver suas próprias versões de ransomware com funções de cifragem dos arquivos existentes no computador da vítima. Esta semana encontramos o primeiro vírus do tipo desenvolvido no Brasil – o país foi o quarto mais atacado por esse tipo de malware em 2015.

Em meados de 2009, tivemos o caso do Byteclark, que ficou conhecido como o primeiro “Ransomware-like” brasileiro. Porém, ele não possuía nenhuma função de criptografia de arquivos, somente impedia o uso de programas específicos – o que o classificava na verdade como um Blocker.

O ransomware brasileiro foi disseminado em sites brasileiros, se apresentando como suposta atualização do plugin Adobe Flash Player. Mas, ao invés de desenvolver um ransomware por si, os criminosos brasileiros utilizaram o código do Hidden Tear, que está publicado no GitHub – só precisaram customizar e começar a distribuir o malware.

Código utilizado para gerar e salvar a chave que será utilizada na criptografia

Assim que executado, o malware gera uma senha de 15 caracteres e se autocopia para uma mesma pasta. Esta senha permite o desbloqueio dos arquivos, com o uso de uma ferramenta enviada pelo sequestrador digital.

Arquivo gerado para armazenar a chave de criptografia

O malware codifica todos os arquivos localizados na área de trabalho do computador infectado e também os que tenham determinadas extensões (imagem abaixo).

Função que busca por arquivos com extensões específicas e encripta os arquivos

O malware utiliza o algoritmo AES 256 para encriptar os arquivos. Eles recebem a extensão “.locked” e seu conteúdo não pode mais ser acessado.

Arquivo com conteúdo criptografado

O malware então envia uma mensagem para o usuário informando que os dados foram sequestrados. O texto traz um link para uma explicação de como efetuar o pagamento do resgate, no valor de R$ 2 mil -com o uso da moeda criptográfica Bitcoin.

Arquivo de texto e papel de parede informando que os arquivos foram bloqueados

Texto com instruções de como efetuar o pagamento do resgate

A tecnologia System Watcher, presente em todos os nossos produtos, evita a ação de qualquer ransomware em um sistema atacado -os dados criptografados permanecem com uma cópia original no sistema. Os produtos da Kaspersky também detectam a praga desde o início da sua disseminação, por meio do nosso motor Heuristico.

É possível hackear um trem?

Viver na era digital significa que a maioria das coisas usadas são operadas e/ou controladas por computadores. Esse leque vai de aplicações de telecomunicações até fábricas, usinas de energia, portos

FERRAMENTAS GRATUITAS

Soluções de segurança direcionadas

Soluções Corporativas

Cibercrime brasileiro cria seu primeiro vírus sequestrador

O ataque ao MOVEit e suas consequências

Como os cibercriminosos lavam criptomoedas

É possível hackear um trem?

Dicas

Anunciantes compartilhando seus dados com… agências de inteligência

Olha o passarinho (verificado) ou as novas maneiras de reconhecer falsificações

Como mudar para a Kaspersky: um guia de migração passo a passo

Chefe ou fraudador? Golpe disfarçado de ordens do seu chefe

Inscreva-se para receber nossos destaques em seu e-mail

Soluções domésticas

Produtos para pequenas empresas

Produtos para empresas médias

Soluções corporativas

Securelist

Eugene Personal Blog