Cibercrime brasileiro cria seu primeiro vírus sequestrador

14 jan 2016

Por Thiago Marques, pesquisador do GReAT

Não demorou muito para que os cibercriminosos brasileiros começassem a desenvolver suas próprias versões de ransomware com funções de cifragem dos arquivos existentes no computador da vítima. Esta semana encontramos o primeiro vírus do tipo desenvolvido no Brasil – o país foi o quarto mais atacado por esse tipo de malware em 2015.

ransomware

Em meados de 2009, tivemos o caso do Byteclark, que ficou conhecido como o primeiro “Ransomware-like” brasileiro. Porém, ele não possuía nenhuma função de criptografia de arquivos, somente impedia o uso de programas específicos – o que o classificava na verdade como um Blocker.

O ransomware brasileiro foi disseminado em sites brasileiros, se apresentando como suposta atualização do plugin Adobe Flash Player. Mas, ao invés de desenvolver um ransomware por si, os criminosos brasileiros utilizaram o código do Hidden Tear, que está publicado no GitHub – só precisaram customizar e começar a distribuir o malware.

img_1

Código utilizado para gerar e salvar a chave que será utilizada na criptografia

Assim que executado, o malware gera uma senha de 15 caracteres e se autocopia para uma mesma pasta. Esta senha permite o desbloqueio dos arquivos, com o uso de uma ferramenta enviada pelo sequestrador digital.

Arquivo gerado para armazenar a chave de criptografia

Arquivo gerado para armazenar a chave de criptografia

O malware codifica todos os arquivos localizados na área de trabalho do computador infectado e também os que tenham determinadas extensões (imagem abaixo).

Função que busca por arquivos com extensões específicas e encripta os arquivos

Função que busca por arquivos com extensões específicas e encripta os arquivos

O malware utiliza o algoritmo AES 256 para encriptar os arquivos. Eles recebem a extensão “.locked” e seu conteúdo não pode mais ser acessado.

Arquivo com conteúdo criptografado

Arquivo com conteúdo criptografado

O malware então envia uma mensagem para o usuário informando que os dados foram sequestrados. O texto traz um link para uma explicação de como efetuar o pagamento do resgate, no valor de R$ 2 mil -com o uso da moeda criptográfica Bitcoin.

Arquivo de texto e papel de parede informando que os arquivos foram bloqueados

Arquivo de texto e papel de parede informando que os arquivos foram bloqueados

Texto com instruções de como efetuar o pagamento do resgate

Texto com instruções de como efetuar o pagamento do resgate

A tecnologia System Watcher, presente em todos os nossos produtos, evita a ação de qualquer ransomware em um sistema atacado -os dados criptografados permanecem com uma cópia original no sistema. Os produtos da Kaspersky também detectam a praga desde o início da sua disseminação, por meio do nosso motor Heuristico.