Pesquisadores dos laboratórios da Trend Micro descobriram uma nova versão do malware-sequestrador BitCrypt. Classificado também como ransomware, o BitCrypt2 criptografa arquivos de diversas extensões na máquina atingida, cobra um resgate em bitcoins e ainda traz um arquivo de ajuda em diversos idiomas – inclusive português brasileiro.

Esse último aspecto é talvez o mais preocupante para os internautas daqui, já que indica a participação de criminosos locais no desenvolvimento do vírus – o texto e a acentuação são bem feitos, na visão de Fernando Mercês, pesquisador que analisou a ameaça. Ou seja, diferentemente de outros ransomware, como o CryptoLocker ou mesmo o BitCrypt original, brasileiros parecem estar entre os alvos previstos pelos desenvolvedores BitCrypt2.

Como funciona? – Segundo a Trend Micro, a ameaça pode chegar por e-mail, por redes P2P ou até mesmo por outras ameaças aparentemente menores. Assim que é instalado, o vírus procura por arquivos de extensões “ppt”, “pdf”, “doc”, “jpg”, “php”, “js”, “mdb”, entre outros de imagem, documentos e banco de dados, e os criptografa com uma chave única e aleatória RSA-1024 bits. Os itens também são renomeados, ganhando um “.bitcrypt2” no nome.

Antes de se apagar, o ransomware ainda desabilita o gerenciador de tarefas, o editor de registros e o modo de segurança da máquina. Por fim, uma mensagem alertando sobre a infecção aparece no plano de fundo e um arquivo “txt” de instruções é criado, trazendo informações em nove idiomas, além do português brasileiro.

Pelo documento, a vítima é orientada a visitar o site dos criminosos e a digitar o código da ameaça em um campo específico. Depois, ela deve criar uma carteira virtual para adquirir e transferir 0,4 bitcoin para os criminosos (cerca de 250 dólares, ou 587 reais), que, na teoria, entregam a chave para descriptografar os arquivos infectados.

Solução – Para evitar a infecção e não ter que pagar o resgate, o ideal é ter um bom antivírus instalado na máquina e não clicar em links de e-mails suspeitos ou executar itens baixados por eles, especialmente os que aparecem com extensões duplas (“documento.pdf.exe”, por exemplo). O mesmo vale para arquivos do tipo em redes P2P.

Mas caso a infecção já tenha ocorrido, é possível apenas remover o vírus, conforme mostra a Trend Micro. Para isso, procure pelos arquivos “BitCrypt.txt”, “BitCrypt.bmp” e “bitcrypt.ccw”, inclusive entre os ocultos, e os apague permanentemente (SHIFT+Delete). 

É preciso também restaurar alguns registros pelo Regedit, e você encontra a lista completa deles nesta página. Por fim, use um antivírus para escanear a máquina e remover o malware por completo – além da Trend Micro, Kasperksy, Sophos, Symantec e ESET também parecem identificá-lo. Os arquivos criptografados, no entanto, não são recuperados através desse procedimento – e nem pela restauração do sistema –, o que reforça a necessidade de se ter um backup de tudo.

Histórico – O BitCrypt2 é uma versão atualizada do BitCrypt, que seguia basicamente o mesmo conceito, mas usava uma chave de criptografia mais fraca, de 426-bits – e, por isso, mais suscetível à quebras. O malware original também não vinha com instruções em português, o que leva a crer que brasileiros não eram alvos “prioritários” – tanto que, em relação à segunda versão do vírus, há poucos casos relatados por aqui.

Apesar de provocarem muitos transtornos, ambos não chegam a ser tão cruéis quanto o ransomware mais bem-sucedido registrado, chamado de CryptoLocker. A ameaça, além de sequestrar o computador, bloqueava toda a máquina depois de 96 horas caso o resgate não fosse pago. Ela continua circulando pela web, mas alguns antivírus já conseguem prevenir a infecção – embora não em todas as ocasiões. E caso ela ocorra, a única solução para recuperar os arquivos é mesmo arriscar pagar os 300 dólares, euros ou reais pedidos.