(Fonte da imagem: Reprodução/Baguete)
Pesquisadores dos laboratórios da Trend Micro informam que um novo malware sequestrador está rondando a rede. Trata-se de uma nova versão do BitCrypt, o BitCrypt2, que é classificado também como ransomware.
Segundo informações divulgadas, ele criptografa arquivos de diversas extensões na máquina atingida, além de cobrar um resgate em Bitcoins e trazer um suposto arquivo de ajuda em diversos idiomas, inclusive português brasileiro.
Para Fernando Mercês, um dos pesquisadores que analisou a ameaça, esse é um dos aspectos mais preocupantes, o que indica a participação de criminosos locais no desenvolvimento do malware e a adição dos brasileiros no raio de ação do BitCrypt2.
Entendendo a ameaça
Relatórios da Trend Micro indicam que a ameaça pode chegar por email, redes P2P ou outras formas menores. Quando instalado, o malware faz buscas por arquivos de extensão PPT, PDF, DOC, JPG, PHP, JS, MDB e outros de imagens, documentos e banco de dados.
Ao encontrá-los, ele os criptografa com uma chave única e aleatória RSA-1024 bits, e os itens afetados são renomeados para receber um “.bitcrypt2” no nome. Antes de se apagar, porém, ele desabilita o gerenciador de tarefas, o editor de registros e o modo de segurança da máquina.
Também é exibida uma mensagem, no plano de fundo do computador, alertando sobre a infecção. O usuário vai notar a criação de um arquivo de texto com instruções em nove idiomas além do português brasileiro, no qual é mencionado que a vítima deve visitar o site dos criminosos e digitar o código da ameaça em um campo específico.
O próximo passo é transferir 0,4 bitcoin (aproximadamente US$ 250 ou R$ 587), em troca de uma chave para descriptografar os arquivos infectados.
Proteção e remoção
A melhor forma de evitar a contaminação é tendo um bom antivírus instalado na máquina e não clicar em links suspeitos ou instalar arquivos originários deles, especialmente com extensões duplas (“pdf.exe”, por exemplo). Caso já tenha sido pego, existe a possibilidade de apenas remover o vírus procurando pelos arquivos “BitCrypt.txt”, “BitCrypt.bmp” e “bitcrypt.ccw”. Ao encontrá-los, basta apagá-los permanentemente (Shift + Delete).
É recomendado o escaneamento com um antivírus após realizar esses procedimentos. Entretanto, foi mencionado que os arquivos afetados não são recuperados ao realizar esses passos – ou seja, é necessário ter um backup de tudo que está no disco rígido da máquina.
Fontes
Categorias