Apesar da nova abordagem, a Symantec afirma que não há indícios de qualquer código no malware que permita tal feito
Cibercriminosos especializados em extorquir internautas por meio dos chamados "ransomware" aumentaram suas apostas. Eles estão apertando o "botão do pânico" nos usuários, afirmando que o malware irá limpar seus discos rígidos, segundo informações da Symantec, liberadas na segunda-feira (24/12).
Ainda segundo a empresa de segurança, essa alegação é falsa e não passa de uma maneira que scammers (golpistas) encontraram para aproveitar do medo dos usuários. "Essa é uma tentativa de extorquir dinheiro dos usuários, tirando vantagem das fraquezas humanas quando em pânico e sob pressão", escreveu o pesquisador da Symantec, Jeet Morparia, em um post no blog da empresa.
Ransomwares é a classificação para malwares que, uma vez dentro de um computador pessoal, bloqueiam a máquina e criptografam todos os arquivos e, depois, exibem uma mensagem que pede resgate, um pagamento para que o usuário possa obter o controle sobre a máquina novamente. A técnica está em uso há pelo menos 6 anos e, até recentemente, era rara e ineficaz - os ataques ocorriam principalmente na Europa Oriental.
A nova variante do ransomware, identificada pela Symantec como "Trojan. Ransomlock.G", mas chamada de "Reveton" por outros fornecedores de antivírus; afirma que qualquer tentativa de burlar o bloqueio desencadeará um desastre. "Uma tentativa de desbloquear o computador levará à formatação completa do sistema. Todos os arquivos, vídeos, fotos e documentos em sua máquina serão apagados", diz a mensagem que aparece na tela.
Mas isso não é verdade, diz Morparia, que acrescentou que a análise feita pela Symantec não encontrou qualquer capacidade no código do malware que permita a limpeza do disco. E, mais importante, a Symantec foi capaz de remover o Ransomlock.G e destravar o computador sem qualquer formatação ou exclusão de arquivos.
A nova versão também apresenta outras mudanças, disse Morparia, incluindo o aumento no valor do resgate: de 100 dólares, para 200 ou 300 dólares, para destravar o PC. Também é forjado o prazo de 48 horas para efetuar o desbloqueio, apresentado por um temporizador de contagem regressiva exibido na tela.
A Symantec creditou a descoberta das supostas habilidades de formatação do ransomware ao blogueiro conhecido pelo apelido "Kafeine". Por sua vez, Kafeine deu os créditos para outra empresa de segurança, a Trend Micro, por identificar a variante em 10 de dezembro.
O Ransomlock exibe a mensagem como se fosse uma agência de aplicação da lei, e se adapta às localidades de suas vítimas. Por exemplo, aos usuários dos Estados Unidos é exibida uma mensagem supostamente do Departamento de Justiça do FBI, enquanto os usuários alemães veem uma mensagem alegadamente da Bundesamt fr Polizei, a polícia federal da Alemanha.
A mensagem afirma que o usuário violou uma ou mais leis. Aquelas supostamente do FBI usam como exemplo leis como pornografia infantil, direitos autorais e de licenciamento de software, e alegam que a vítima foi monitorada - inclusive por meio da webcam embutida no computador - vendo pornografia infantil.
Em novembro, a Symantec liberou um relatório que descrevia a rápida expansão de ransomware em mercados ocidentais a partir de suas origens, na Europa Oriental. E que criminosos conseguiram milhões com seus golpes.
Morparia pede às vítimas que não deem dinheiro aos criminosos. "Não paguem o resgate!", escreveu. Em vez disso, ele sugere que os usuários removam o malware. A Symantec fornece uma ferramenta gratuita, a Norton Power Eraser, que busca e elimina o ransomware e outras formas do "scareware" (falsos softwares antivírus).
