No ano passado, tivemos o enorme ataque do WannaCry, um malware que criptografa arquivos e pede resgate na forma de bitcoin. Ele infectou mais de 200 mil computadores, e abriu caminho para outras pragas como Petya/NotPetya e Bad Rabbit.
Criar um ransomware não é uma tarefa muito difícil se você tem alguma experiência com programação. Na verdade, existem alguns projetos de código aberto que mostram isso — e o CryBrazil se inspira neles.
O CryBrazil foi descoberto este mês pela equipe do MalwareHunterTeam. Ele é distribuído como um arquivo com ícone de PDF e extensão .exe. Basta abri-lo, e os arquivos pessoais no seu computador — como fotos, músicas, vídeos e documentos — serão criptografados.
Seus arquivos vão ganhar a extensão .crybrazil, e seu papel de parede será alterado pela imagem acima, dizendo “Atenção, crianças! Ele que é o palhaço, mas sou eu quem põe fogo no circo”. Por fim, o ransomware coloca um arquivo SUA_CHAVE.html na área de trabalho, com o mesmo texto do papel de parede.
Ele avisa que seus arquivos foram criptografados, e pede para entrar em contato através de um e-mail associado ao Los Alpha Group. Trata-se de um fórum sobre segurança da informação, com tutoriais para keyloggers, phishing e — sim — ransomware.
CryBrazil ransomware sample: https://t.co/6jWAMQGQlq
Extension: .crybrazil
Mostly Hidden Tear with some codes from Eda2 & seems compiled w/ Italian VS. Maybe related to OpsVenezuela?
🤔
C2 is already down.@BleepinComputer @demonslay335 pic.twitter.com/Y4cJEvHdXZ— MalwareHunterTeam (@malwrhunterteam) June 2, 2018
O CryBrazil é baseado no Hidden Tear, projeto de código aberto criado pelo desenvolvedor Utku Sen. A ideia era mostrar como é simples fazer um ransomware em C#. Ele criptografa certos tipos de arquivo usando AES e envia a chave para servidores controlados pelo malware.
Sen também é autor do EDA2, versão expandida do Hidden Tear com mais recursos — incluindo a capacidade de trocar o papel de parede da vítima. O CryBrazil adota elementos desse malware.
O desenvolvedor avisa que o EDA2 “pode ser usado apenas para fins educacionais. Não o utilize como ransomware! Você pode ir para a cadeia por obstrução de justiça apenas por rodá-lo, mesmo se for inocente”.
No entanto, ele vem sendo usado de forma maliciosa há alguns anos. Um dos tópicos no fórum Los Alpha Group menciona o EDA2, e possui o mesmo aviso no final:
O pesquisador de segurança GrujaRS fez um vídeo demonstrando o ataque do CryBrazil em um ambiente controlado.
Ele é detectado como trojan pelos principais antivírus, como o da Microsoft (embutido no Windows 8 e 10), Avast, Kaspersky e AVG. Entre os poucos antivírus que marcam o arquivo como “limpo”, estão o Baidu e o Kingsoft.
https://www.youtube.com/watch?v=iysD4hyKA0U
Ou seja, não é provável que tenhamos uma epidemia do CryBrazil tão cedo. Mas, como esse tipo de ameaça sempre estará presente, é preciso manter boas práticas de segurança, como manter seu antivírus atualizado; fazer backup dos seus arquivos; e tomar cuidado com executáveis.
Com informações: Bleeping Computer.
Leia | O que é um ransomware?