Início » Antivírus e Segurança » CryBrazil sequestra arquivos usando ransomware de código aberto

CryBrazil sequestra arquivos usando ransomware de código aberto

Felipe Ventura Por

No ano passado, tivemos o enorme ataque do WannaCry, um malware que criptografa arquivos e pede resgate na forma de bitcoin. Ele infectou mais de 200 mil computadores, e abriu caminho para outras pragas como Petya/NotPetya e Bad Rabbit.

Criar um ransomware não é uma tarefa muito difícil se você tem alguma experiência com programação. Na verdade, existem alguns projetos de código aberto que mostram isso — e o CryBrazil se inspira neles.

O CryBrazil foi descoberto este mês pela equipe do MalwareHunterTeam. Ele é distribuído como um arquivo com ícone de PDF e extensão .exe. Basta abri-lo, e os arquivos pessoais no seu computador — como fotos, músicas, vídeos e documentos — serão criptografados.

Seus arquivos vão ganhar a extensão .crybrazil, e seu papel de parede será alterado pela imagem acima, dizendo "Atenção, crianças! Ele que é o palhaço, mas sou eu quem põe fogo no circo". Por fim, o ransomware coloca um arquivo SUA_CHAVE.html na área de trabalho, com o mesmo texto do papel de parede.

Ele avisa que seus arquivos foram criptografados, e pede para entrar em contato através de um e-mail associado ao Los Alpha Group. Trata-se de um fórum sobre segurança da informação, com tutoriais para keyloggers, phishing e — sim — ransomware.

O CryBrazil é baseado no Hidden Tear, projeto de código aberto criado pelo desenvolvedor Utku Sen. A ideia era mostrar como é simples fazer um ransomware em C#. Ele criptografa certos tipos de arquivo usando AES e envia a chave para servidores controlados pelo malware.

Sen também é autor do EDA2, versão expandida do Hidden Tear com mais recursos — incluindo a capacidade de trocar o papel de parede da vítima. O CryBrazil adota elementos desse malware.

O desenvolvedor avisa que o EDA2 "pode ser usado apenas para fins educacionais. Não o utilize como ransomware! Você pode ir para a cadeia por obstrução de justiça apenas por rodá-lo, mesmo se for inocente".

No entanto, ele vem sendo usado de forma maliciosa há alguns anos. Um dos tópicos no fórum Los Alpha Group menciona o EDA2, e possui o mesmo aviso no final:

O pesquisador de segurança GrujaRS fez um vídeo demonstrando o ataque do CryBrazil em um ambiente controlado.

Ele é detectado como trojan pelos principais antivírus, como o da Microsoft (embutido no Windows 8 e 10), Avast, Kaspersky e AVG. Entre os poucos antivírus que marcam o arquivo como "limpo", estão o Baidu e o Kingsoft.

Ou seja, não é provável que tenhamos uma epidemia do CryBrazil tão cedo. Mas, como esse tipo de ameaça sempre estará presente, é preciso manter boas práticas de segurança, como manter seu antivírus atualizado; fazer backup dos seus arquivos; e tomar cuidado com executáveis.

Com informações: Bleeping Computer.

Mais sobre: ,

Comentários

Envie uma pergunta

Os mais notáveis

Comentários com a maior pontuação

Daniel Rios
Chromebook é Linux cara, fica preocupado...
Daniel Rios
Meu irmão, o ano do Linux já começou já muito tempo, e pelo visto vai demorar muitas décadas pra acabar, o que tá difícil de chegar, infelizmente, é o ano do Linux no desktop, porque no resto... Hoje em dia Linux é usado em tudo e pra tudo, sem Linux, todos nós deixaríamos de fazer 90% da coisas que fazemos atualmente, se não for mais...
Knight
Ná verdade é uma brotheragem ai! kkkkkk
Cristina Nascimento
Fale isso nao, sou fã desse @disqus_HS6QtrqJYG:disqus , melhor antivirus ever! 😂👍
Paulo Andador
Toma!
Gabriel Rezende
Realmente, tem pouco roubo no Brasil, tava precisando de mais um.
Lawliet-L
Os videos porn meu da biblioteca ta em 3GP, droga vou ter que fazer o backup logo
Lawliet-L
E porque um virus nao pode excluir o outro kkkkkkk
Lawliet-L
Deveria por a foto do temer no papel de parede, daria mais medo kkkkkkEu confiava no Baidu, era um bom antivírus, eu sempre tenho ele instalado aqui na máquina kkkkkk
Christiano Nascimento Amorim
INSTALADO COM SUCESSO
paulo yan
Mas quem em sã consciência usa o Baidu como antivírus?
Wellington Gabriel de Borba
O meu Chromebook pegou um desses add ons que se instalou no meu Chrome do Windows, para conseguir limpar a porcaria tive que dar resete de fábrica porque todos os tutoriais da internet era para Windows. Aliás, o Chrome em si já é um ímã de add ons chatos do baralho.
Pereira
Vale lembrar que sua argumentação inicial em momento algum menciona antivírus. Olha seu comentário:Agora, convenhamos que se o cara clica em um arquivo pdf com extensão exe ele merece...
Pereira
Já se deu conta de que o windows oculta as extensões para tipos de arquivos conhecidos?Num lapso o arquivo vai aparecer no windows explorer só como "arquivo.pdf" o .exe vai estar oculto e você pode estar num dia atacado de projeto e super estressado e nem se tocar que a extensão .pdf não deveria estar aparecendo ali.
John Smith
Não me faz pergunta difícil!
Paulo Andador
Cinco? quero ver listar os outros quatros!
Eric Viana
#eupegueiareferencia #euri
Eric Viana
Desculpa, mas divulgação soltando algo assim para qualquer um baixar não é responsável. É atear fogo em mato seco...
Maurício Castro
double facepalm
Bruno
Ninguém é obrigado a saber dessas coisas cara. Você é o tipo de pessoa que culpa a vítima de estupro por estar sozinha na rua usando saia. Lamentável.
Caleb Enyawbruce
Lamentável... <facepalm>
Gertrudes, a Lhama
Por outro lado, a ampla divulgação desse tipo de coisa mobiliza as empresas a proteger o software delas.
Gertrudes, a Lhama
Faz diferença se o código do RamsonWare não rodar no sistema. Na matéria diz que esse é feito em C#, o que pode significar que ele roda apenas no Windows (se for .NET "padrão", ou rodaria em Linux e MacOS também se for .NET Core).De qualquer forma, a maioria dos ransomwares são feitos apenas para Windows simplesmente porque a maioria esmagadora dos usuários está lá (e ainda a grande maioria é leiga). Pra MacOS até tem alguma coisa também, principalmente nos EUA onde ele é mais relevante.Pra Linux, geralmente os ramsonwares são feitos mirando nos servidores, não no Linux desktop.
John Smith
Como eu disse: ignorante. Realmente não vale o tempo de tentar ter uma conversa sadia.Fique na paz.
Eric Viana
Eu quero entender como é que um pesquisador libera um kit que monta esse tipo de software acreditando na "bondade" e "consciência" das pessoas? Coloca qualquer mensagem dizendo que não pode usar além de fins educacionais e dessa maneira se exima, para mim, não existe finalidade educacional nessa atitude de espalhar pela internet. Esse kit deveria ser restrito a Universidades e cursos específicos, só que isso não dá visibilidade ao "pesquisador". Está mais para egotrip do "eu posso fazer e vou mostrar que posso para todo mundo"... Isso deveria ser punível...
Gertrudes, a Lhama
Não existe sistema imune a vírus
Neu
Nossa, se vocês pelo menos usassem o argumento de engenharia social para espalhar o virus eu até consideraria alguma argumentação.. Mas esse mimimi todo só demonstra que não tem conhecimento no assunto e estão sem ter o que fazer mesmo.Diferentemente do seu colega bom moço, vc só veio fazer xorume e com vc eu não me disponho nem a discutir.Um abraço!
John Smith
Também, quem perde tempo desenvolvendo vírus para afetar cinco usuários?
John Smith
Incrível como a sua visão é extremamente restrita e desnecessariamente desrespeitosa. Não há motivo para ser tão ignorante.O usuário acima tem completa razão. Conheço pessoas que aprenderam a usar computador num nível extremamente básico, guardando somente um mínimo de informações necessárias para, por ex., ligar/desligar (sim) e abrir o navegador para olhar umas páginas web.Tem gente que não adianta você querer dar um mini curso básico de informática, simplesmente não vão guardar aquelas informações e vão se reter ao mínimo que mencionei anteriormente.
Robert Rey
É por isso que eu uso Linux. Depois dessa notícia com certeza esse será o ano do Linux
Neu
Não pode ser não brother, porque mesmo sabendo muito pouco sobre TI eles conhecem antivírus, como pessoas que vivem em uma cidade sabem o que é a polícia. Se sua mãe, avó, tia, irmã não sabem, é um problema seu, pois você já deveria ter esclarecido e instalado. Além disso, usuários sem conhecimento cismam que todos os problemas de computador são vírus e buscam a instalação, especialmente se tem dados importantes na máquina. Como a matéria mostra, o método de infecção não tem nenhuma sofisticação e o antivírus basta pra prevenir.Estou me referindo aos usuários espertos que desativam o antivírus e ainda sim clicam no fotosdafesta.pdf.exe. Mas isso vc entendeu, só queria ganhar a estrelinha de bom moço 😘
Cortana ✔
No User Space o Administrador não é necessário, por isso é bom usar a Proteção contra Ransomware do Windows Defender.
Gustavo Rotondo
então creio que por eu usar linux não faria a menor diferença, visto que essas extensões são compatíveis com unix
Felipe Ventura
Ele vasculha todos os discos procurando por determinadas extensões. Segundo a Enigma Software, que trabalha com segurança, são estas as extensões que o CryBrazil criptografa:.3dm, .3g2, .3gp, .7zip, .aaf, .accdb, .aep, .aepx, .aet, .ai, .aif, .as, .as3, .asf, .asp, .asx , .avi, .bmp, .c, .class, .cpp, .cs, .csv, .dat, .db, .dbf, .doc, .docb, .docm, .docx, .dot, .dotm,. dotx, .dwg, .dxf, .efx, .eps, .fla, .flv, .gif, .h, .idml, .iff, .indb, .indd, .indl, .indt, .inx, .jar, .java, .jpeg, .jpg, .js, .m3u, .m3u8, .m4u, .max, .mdb, .mid, .mkv, .mov, .mp3, .mp4, .mpa, .mpeg, .mpg , .pg, .pdf, .php, .plb, .pmd, .png, .pot, .potm, .potx, .ppam, .ppj, .pps, .ppsm, .ppsx, .ppt,. pptm, .pptx, .prel, .prproj, .ps, .psd, .py, .ra, .rar, .raw, .rb, .rtf, .sdf, .sdf, .ses, .sldm, .sldx, .sql, .svg, .swf, .tif, .txt, .vcf, .vob, .wav, .wma, .wmv, .wpd, .wps, .xla, .xlam, .xll, .xlm, .xls , .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml, .xqx, .xqx, .zip
Gustavo Rotondo
Alguem sabe o funcionamento de um treco desses? Pergunto por exemplo, se eu salvo meus arquivos num dir C:/ alguma coisa, e não em locais "mais comuns", como por exemplo :area de trabalho, meus documentos etc. Isso de alguma forma muda alguma coisa ou o ransomware vasculha o disco todp pegando extensões .doc, pdf etc e vai criptografando tudo?
Gustavo Rotondo
se for o chromeOS ta certo kkkkkkkkk
Cristina Nascimento
In baidu we trust😁
Baidu feat MC Brinquedo
Gente, não confiem nesse tal de Kingosoft, eles representam uma ameaça ao usuário Windows.
Lucas Santos
"CryBrazil"Haha, nós já choramos a tempos...
Carlin
TÁ!
Molinex
Beautiful...O que é .exe, ransonware, virus, anti virus?
robsonc
Não, não merece. O "cara" pode ser sua mãe, sua vó, seu avô, etc... as pessoas esquecem que PC já é algo acessível a todos desde a década de 80 e que nem todo mundo sabe se proteger nesse nível básico.
Neu
Agora, convenhamos que se o cara clica em um arquivo pdf com extensão exe ele merece...
VaGNaroK Alkimist
Legal, mais um para a coleção de pragas para o windows, só que dessa vez é hueBR!!
VaGNaroK Alkimist
Sarcasm detected.
Jairo ☠️
What.....e eu confiava taaaanto na suite Baidu , que decepção.
Marcus Araújo
"Entre os poucos antivírus que marcam o arquivo como “limpo”, estão o Baidu e o Kingsoft."Muito surpreso hahahahahahaha
Nathan Castro
parabéns.
Fagner Ribeiro
O 3º ícone da etiqueta em meu Chromebook já diz tudo. https://uploads.disquscdn.c...
Lucas Vinicius
as_fotos_da_festa_ficaram_otimas.jpg.exe
7csP9tkb
Ou seja, a melhor forma de se proteger como sempre, é manter o windows atualizado.
Gustave Dupré
Ele ainda necessita de um usuário administrador local para executar?