Syrk: ransomware escondido em cheats do Fortnite

4 set 2019

Os cibercriminosos tentam tirar o máximo proveito de tudo o que tem a aprovação do público, inclusive dos jogos mais populares. Normalmente, o malware finge ser a cópia pirata ou versão mobile de um jogo, especialmente quando a última versão ainda não foi lançada oficialmente.

Uma das últimas novidades é o Syrk, ransomware de criptografia que finge ser um pacote de cheats para o Fortnite -game que, em apenas dois anos, tem 250 milhões de usuários. O Syrk promete aos jogadores dois cheats: um aimbot (ferramenta para mirar automaticamente) e um WH (também conhecida como ESP, que descobre a localização de outros jogadores no jogo). Mas o que esse pacote realmente faz é criptografar os arquivos das vítimas e solicitar um resgate.
Ransomware finge ser um pacote de cheats para Fortnite com aimbot e WH

Como funciona o ransomware Syrk

De acordo com pesquisadores da Cyren, o Syrk é uma cópia intacta de um ransomware de código aberto. Uma vez executado, o software se conecta a um servidor de comando e controle e desativa os seguintes programas:

  • Windows Defender
  • UAC (sistema que solicita permissão do usuário para ações de administrador)
  • Aplicativos de monitoramento de processo que podem ser usados ​​para detectar infecções, como o Gerenciador de Tarefas, o Monitor de Processo e o Process Hacker.

Para que o usuário não consiga se livrar da criptografia simplesmente reiniciando o computador, ele também se adiciona à lista de carregamento automático. Se uma memória USB estiver conectada ao computador, o Syrk também tentará infectá-la.

Em seguida, o malware começa a localizar e criptografar arquivos multimídia, documentos de texto, planilhas e apresentações e arquivos ZIP, RAR, Photoshop e Microsoft Visual Studio. A extensão .SYRK é adicionada ao arquivo infectado.

A tela mostra uma solicitação de resgate que não pode ser fechada.

O texto aparece com a máscara de Guy Fawkes em segundo plano e afirma que a única maneira de recuperar os arquivos é entrar em contato com os cibercriminosos por e-mail e fazer o pagamento. A vítima tem um tempo limitado para isso: o Syrk excluirá arquivos criptografados a cada duas horas, primeiro as pastas com imagens, depois aquelas na área de trabalho e, finalmente, os documentos do usuário.

Como recuperar seus arquivos gratuitamente

Temos boas notícias: embora o Syrk tenha penetrado em seu computador e criptografado seus documentos, você não precisa pagar pelo resgate. Sua versão atual armazena a chave necessária para descriptografar suas informações armazenadas no computador infectado em um arquivo chamado -pw+.txt ou +dp-.txt na pasta C:\Users\Default\AppData\Local\Microsoft\.

Para recuperar seus arquivos :

  • Copie a senha.
  • Na janela de solicitação de resgate, clique em Mostrar meu ID para abrir uma página que mostra seu ID e o convida a digitar a senha para descriptografar os arquivos.
  • Cole a chave no campo apropriado e pressione Descriptografar meus arquivos.

O programa recuperará as fotos e os documentos criptografados, criando e executando dois arquivos .exe, que removerão os vestígios do malware.

Existe outra maneira de recuperar seus arquivos, embora seja mais complicada. A verdade é que o malware inclui um componente de descriptografia que recupera os documentos, desde que você consiga extraí-lo e executá-lo. No entanto, a infecção deve ser removida manualmente.

Proteja-se de ransomware

Segundo os pesquisadores, os dados apagados pelo Syrk podem ser recuperados, embora você possa precisar da ajuda de profissionais. Recuperar arquivos com a ajuda de uma chave armazenada localmente funciona, mas os desenvolvedores do malware podem remodelar sua ferramenta para impedir os usuários de descriptografar seus arquivos sem pagar o resgate. Como sempre, a melhor estratégia é evitar que o ransomware se espalhe em seus dispositivos.

  • Nunca faça o download de programas de fontes desconhecidas, mesmo que ofereça grandes vantagens para seu jogo.. Na verdade, especialmente se oferecem benefícios incríveis para o seu perfil.
  • Faça uma cópia de backup de seus arquivos e os armazene para que ninguém possa acessá-los diretamente de seu computador. Se você usa discos rígidos ou pen drives, mantenha-os conectados somente enquanto o backup estiver concluído.
  • Instale uma soluçao de segurança confiável, como o ”[KIS_PLACEHOLDERKaspersky Internet Security[/KIS_PLACEHOLDER]”] que detecta o Syrk como um objeto malicioso que nunca poderá acessar seus arquivos, mesmo se tentar baixá-lo e executá-lo.