{"id":5877,"date":"2016-01-14T20:23:54","date_gmt":"2016-01-14T20:23:54","guid":{"rendered":"https:\/\/kasperskydaily.com\/brazil\/?p=5877"},"modified":"2019-11-22T07:42:02","modified_gmt":"2019-11-22T10:42:02","slug":"primeiro-ransomware-brasileiro","status":"publish","type":"post","link":"https:\/\/www.kaspersky.com.br\/blog\/primeiro-ransomware-brasileiro\/5877\/","title":{"rendered":"Cibercrime brasileiro cria seu primeiro v\u00edrus sequestrador"},"content":{"rendered":"

Por Thiago Marques, pesquisador do GReAT
\n<\/em>
\nN\u00e3o demorou muito para que os cibercriminosos brasileiros come\u00e7assem a desenvolver suas pr\u00f3prias vers\u00f5es de ransomware<\/a> com fun\u00e7\u00f5es de cifragem dos arquivos existentes no computador da v\u00edtima. Esta semana encontramos o primeiro v\u00edrus do tipo desenvolvido no Brasil \u2013 o pa\u00eds foi o quarto mais atacado<\/a> por esse tipo de malware em 2015.<\/p>\n

Em meados de 2009, tivemos o caso do Byteclark<\/a>, que ficou conhecido como o primeiro \u201cRansomware-like\u201d brasileiro. Por\u00e9m, ele n\u00e3o possu\u00eda nenhuma fun\u00e7\u00e3o de criptografia de arquivos, somente impedia o uso de programas espec\u00edficos \u2013 o que o classificava na verdade como um Blocker.<\/p>\n

O ransomware brasileiro foi disseminado em sites brasileiros, se apresentando como suposta atualiza\u00e7\u00e3o do plugin Adobe Flash Player. Mas, ao inv\u00e9s de desenvolver um ransomware por si, os criminosos brasileiros utilizaram o c\u00f3digo do Hidden Tear, que est\u00e1 publicado no GitHub \u2013 s\u00f3 precisaram customizar e come\u00e7ar a distribuir o malware.<\/p>\n

\"img_1\"

C\u00f3digo utilizado para gerar e salvar a chave que ser\u00e1 utilizada na criptografia <\/em><\/p><\/div>\n

Assim que executado, o malware gera uma senha de 15 caracteres e se autocopia para uma mesma pasta. Esta senha permite o desbloqueio dos arquivos, com o uso de uma ferramenta enviada pelo sequestrador digital.<\/p>\n

\"Arquivo

Arquivo gerado para armazenar a chave de criptografia<\/em><\/p><\/div>\n

O malware codifica\u00a0todos os arquivos localizados na \u00e1rea de trabalho do computador infectado e tamb\u00e9m os que tenham determinadas extens\u00f5es (imagem abaixo<\/em>).<\/p>\n

\"Fun\u00e7\u00e3o

Fun\u00e7\u00e3o que busca por arquivos com extens\u00f5es espec\u00edficas e encripta os arquivos<\/em><\/p><\/div>\n

O malware utiliza o algoritmo AES 256 para encriptar os arquivos. Eles recebem a extens\u00e3o \u201c.locked<\/em>\u201d e seu conte\u00fado n\u00e3o pode mais ser acessado.<\/p>\n

\"Arquivo

Arquivo com conte\u00fado criptografado<\/em><\/p><\/div>\n

O\u00a0malware ent\u00e3o\u00a0envia uma\u00a0mensagem para o usu\u00e1rio informando que os dados foram sequestrados. O texto traz um link para uma explica\u00e7\u00e3o de como efetuar o pagamento do resgate, no valor de R$ 2 mil -com o\u00a0uso da moeda criptogr\u00e1fica Bitcoin<\/a>.<\/p>\n

\"Arquivo

Arquivo de texto e papel de parede informando que os arquivos foram bloqueados<\/em><\/p><\/div>\n

\"Texto

Texto com instru\u00e7\u00f5es de como efetuar o pagamento do resgate<\/em><\/p><\/div>\n

A tecnologia System Watcher<\/a>, presente em todos os nossos produtos, evita a a\u00e7\u00e3o de qualquer ransomware em um sistema atacado -os dados criptografados permanecem com uma c\u00f3pia original no sistema. Os produtos da Kaspersky tamb\u00e9m detectam a praga<\/a> desde o in\u00edcio da sua dissemina\u00e7\u00e3o, por meio\u00a0do nosso motor Heuristico.<\/p>\n","protected":false},"excerpt":{"rendered":"

Por Thiago Marques, pesquisador do GReAT N\u00e3o demorou muito para que os cibercriminosos brasileiros come\u00e7assem a desenvolver suas pr\u00f3prias vers\u00f5es de ransomware com fun\u00e7\u00f5es de cifragem dos arquivos existentes no<\/p>\n","protected":false},"author":40,"featured_media":5305,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[1260,14],"tags":[83],"class_list":{"0":"post-5877","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-threats","8":"category-news","9":"tag-ransomware"},"hreflang":[{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/primeiro-ransomware-brasileiro\/5877\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.com.br\/blog\/tag\/ransomware\/","name":"ransomware"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/5877","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/users\/40"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/comments?post=5877"}],"version-history":[{"count":2,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/5877\/revisions"}],"predecessor-version":[{"id":13274,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/5877\/revisions\/13274"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/media\/5305"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/media?parent=5877"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/categories?post=5877"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/tags?post=5877"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}