malware (Tor Håkon / Flickr)
Da Redação
Publicado em 18 de março de 2014 às 08h33.
Pesquisadores dos laboratórios da Trend Micro descobriram uma nova versão do malware-sequestrador BitCrypt. Classificado também como ransomware, o BitCrypt2 criptografa arquivos de diversas extensões na máquina atingida, cobra um resgate em bitcoins e ainda traz um arquivo de ajuda em diversos idiomas inclusive português brasileiro.
Esse último aspecto é talvez o mais preocupante para os internautas daqui, já que indica a participação de criminosos locais no desenvolvimento do vírus o texto e a acentuação são bem feitos, na visão de Fernando Mercês, pesquisador que analisou a ameaça. Ou seja, diferentemente de outros ransomware, como o CryptoLocker ou mesmo o BitCrypt original, brasileiros parecem estar entre os alvos previstos pelos desenvolvedores BitCrypt2.
Como funciona? Segundo a Trend Micro, a ameaça pode chegar por e-mail, por redes P2P ou até mesmo por outras ameaças aparentemente menores. Assim que é instalado, o vírus procura por arquivos de extensões ppt, pdf, doc, jpg, php, js, mdb, entre outros de imagem, documentos e banco de dados, e os criptografa com uma chave única e aleatória RSA-1024 bits. Os itens também são renomeados, ganhando um .bitcrypt2 no nome.
Antes de se apagar, o ransomware ainda desabilita o gerenciador de tarefas, o editor de registros e o modo de segurança da máquina. Por fim, uma mensagem alertando sobre a infecção aparece no plano de fundo e um arquivo txt de instruções é criado, trazendo informações em nove idiomas, além do português brasileiro.
Pelo documento, a vítima é orientada a visitar o site dos criminosos e a digitar o código da ameaça em um campo específico. Depois, ela deve criar uma carteira virtual para adquirir e transferir 0,4 bitcoin para os criminosos (cerca de 250 dólares, ou 587 reais), que, na teoria, entregam a chave para descriptografar os arquivos infectados.
Solução Para evitar a infecção e não ter que pagar o resgate, o ideal é ter um bom antivírus instalado na máquina e não clicar em links de e-mails suspeitos ou executar itens baixados por eles, especialmente os que aparecem com extensões duplas (documento.pdf.exe, por exemplo). O mesmo vale para arquivos do tipo em redes P2P.
Mas caso a infecção já tenha ocorrido, é possível apenas remover o vírus, conforme mostra a Trend Micro. Para isso, procure pelos arquivos BitCrypt.txt, BitCrypt.bmp e bitcrypt.ccw, inclusive entre os ocultos, e os apague permanentemente (SHIFT+Delete).
É preciso também restaurar alguns registros pelo Regedit, e você encontra a lista completa deles nesta página. Por fim, use um antivírus para escanear a máquina e remover o malware por completo além da Trend Micro, Kasperksy, Sophos, Symantec e ESET também parecem identificá-lo. Os arquivos criptografados, no entanto, não são recuperados através desse procedimento e nem pela restauração do sistema , o que reforça a necessidade de se ter um backup de tudo.
Histórico O BitCrypt2 é uma versão atualizada do BitCrypt, que seguia basicamente o mesmo conceito, mas usava uma chave de criptografia mais fraca, de 426-bits e, por isso, mais suscetível à quebras. O malware original também não vinha com instruções em português, o que leva a crer que brasileiros não eram alvos prioritários tanto que, em relação à segunda versão do vírus, há poucos casos relatados por aqui.
Apesar de provocarem muitos transtornos, ambos não chegam a ser tão cruéis quanto o ransomware mais bem-sucedido registrado, chamado de CryptoLocker. A ameaça, além de sequestrar o computador, bloqueava toda a máquina depois de 96 horas caso o resgate não fosse pago. Ela continua circulando pela web, mas alguns antivírus já conseguem prevenir a infecção embora não em todas as ocasiões. E caso ela ocorra, a única solução para recuperar os arquivos é mesmo arriscar pagar os 300 dólares, euros ou reais pedidos.