Pesquisadores dos laboratórios da Trend Micro informam que um novo malware-sequestrador está rondando a rede. Trata-se de uma nova versão do BitCrypt, o BitCrypt2, que é classificado também como ransomware.
Segundo
informações divulgadas, ele criptografa arquivos de diversas extensões na
máquina atingida, além de cobrar um resgate em bitcoins e trazer um suposto
arquivo de ajuda em diversos idiomas, inclusive português brasileiro.
Para
Fernando Mercês, um dos pesquisadores que analisou a ameaça, esse é um dos
aspectos mais preocupantes, o que indica a participação de criminosos locais no
desenvolvimento do malware e a adição dos brasileiros no raio de ação do
BitCrypt2.
Entendendo a
ameaça
Relatórios
da Trend Micro indicam que a ameaça pode chegar por email, redes P2P ou outras
formas menores. Quando instalado, o malware faz buscas por arquivos de extensão
“ppt”, “pdf”, “doc”, “jpg”, “php”, “js”, “mdb” e outros de imagens, documentos
e banco de dados.
Ao
encontrá-los, ele os criptografa com uma chave única e aleatória RSA-1024 bits,
e os itens afetados são renomeados para receber um “.bitcrypt2” no nome. Antes
de se apagar, porém, ele desabilita o gerenciador de tarefas, o editor de
registros e o modo de segurança da máquina.
Também é
exibida uma mensagem, no plano de fundo do computador, alertando sobre a
infecção. O usuário vai notar a criação de um arquivo de texto com instruções
em nove idiomas além do português brasileiro, onde é mencionado que a vítima
deve visitar o site dos criminosos e digitar o código da ameaça em um campo
específico.
O próximo
passo é transferir 0,4 bitcoin (aproximadamente US$ 250, ou R$ 587), em troca
de uma chave para descriptografar os arquivos infectados.
Proteção e
remoção
A melhor
forma de evitar a contaminação é tendo um bom antivírus instalado na máquina e
não clicar em links suspeitos ou instalar arquivos originários deles,
especialmente com extensões duplas (“pdf.exe”, por exemplo). Caso já tenha sido
pego, existe a possibilidade de apenas remover o vírus procurando pelos
arquivos “BitCrypt.txt”, “BitCrypt.bmp” e “bitcrypt.ccw”. Ao encontrá-los,
basta apagar permanentemente (Shift + Delete).
É
recomendado o escaneamento com um antivírus após realizar esses procedimentos.
Entretanto, foi mencionado que os arquivos afetados não são recuperados ao
realizar esses passos – ou seja, é necessário ter um backup de tudo que está no
disco rígido da máquina.
Comentários
Postar um comentário