No ano passado, tivemos o enorme ataque do WannaCry, um malware que criptografa arquivos e pede resgate na forma de bitcoin. Ele infectou mais de 200 mil computadores, e abriu caminho para outras pragas como Petya/NotPetya e Bad Rabbit.

Criar um ransomware não é uma tarefa muito difícil se você tem alguma experiência com programação. Na verdade, existem alguns projetos de código aberto que mostram isso — e o CryBrazil se inspira neles.

O CryBrazil foi descoberto este mês pela equipe do MalwareHunterTeam. Ele é distribuído como um arquivo com ícone de PDF e extensão .exe. Basta abri-lo, e os arquivos pessoais no seu computador — como fotos, músicas, vídeos e documentos — serão criptografados.

Seus arquivos vão ganhar a extensão .crybrazil, e seu papel de parede será alterado pela imagem acima, dizendo “Atenção, crianças! Ele que é o palhaço, mas sou eu quem põe fogo no circo”. Por fim, o ransomware coloca um arquivo SUA_CHAVE.html na área de trabalho, com o mesmo texto do papel de parede.

Ele avisa que seus arquivos foram criptografados, e pede para entrar em contato através de um e-mail associado ao Los Alpha Group. Trata-se de um fórum sobre segurança da informação, com tutoriais para keyloggers, phishing e — sim — ransomware.

O CryBrazil é baseado no Hidden Tear, projeto de código aberto criado pelo desenvolvedor Utku Sen. A ideia era mostrar como é simples fazer um ransomware em C#. Ele criptografa certos tipos de arquivo usando AES e envia a chave para servidores controlados pelo malware.

Sen também é autor do EDA2, versão expandida do Hidden Tear com mais recursos — incluindo a capacidade de trocar o papel de parede da vítima. O CryBrazil adota elementos desse malware.

O desenvolvedor avisa que o EDA2 “pode ser usado apenas para fins educacionais. Não o utilize como ransomware! Você pode ir para a cadeia por obstrução de justiça apenas por rodá-lo, mesmo se for inocente”.

No entanto, ele vem sendo usado de forma maliciosa há alguns anos. Um dos tópicos no fórum Los Alpha Group menciona o EDA2, e possui o mesmo aviso no final:

O pesquisador de segurança GrujaRS fez um vídeo demonstrando o ataque do CryBrazil em um ambiente controlado.

Ele é detectado como trojan pelos principais antivírus, como o da Microsoft (embutido no Windows 8 e 10), Avast, Kaspersky e AVG. Entre os poucos antivírus que marcam o arquivo como “limpo”, estão o Baidu e o Kingsoft.

https://www.youtube.com/watch?v=iysD4hyKA0U

Ou seja, não é provável que tenhamos uma epidemia do CryBrazil tão cedo. Mas, como esse tipo de ameaça sempre estará presente, é preciso manter boas práticas de segurança, como manter seu antivírus atualizado; fazer backup dos seus arquivos; e tomar cuidado com executáveis.

Com informações: Bleeping Computer.

Leia | O que é um ransomware?

Relacionados

Escrito por

Felipe Ventura

Felipe Ventura

Ex-editor

Felipe Ventura fez graduação em Economia pela FEA-USP, e trabalha com jornalismo desde 2009. No Tecnoblog, atuou entre 2017 e 2023 como editor de notícias, ajudando a cobrir os principais fatos de tecnologia. Sua paixão pela comunicação começou em um estágio na editora Axel Springer na Alemanha. Foi repórter e editor-assistente no Gizmodo Brasil.