Apesar da nova abordagem, a Symantec afirma que não há indícios de qualquer código no malware que permita tal feito
http://idgnow.uol.com.br/idgimages/imagefolder.2012-09-03.0992228953/onlinesecurity.png
Cibercriminosos especializados em extorquir internautas por meio dos chamados “ransomware” aumentaram suas apostas. Eles estão apertando o “botão do pânico” nos usuários, afirmando que o malware irá limpar seus discos rígidos, segundo informações da Symantec, liberadas na segunda-feira (24/12).
Ainda segundo a empresa de segurança, essa alegação é falsa e não passa de uma maneira que scammers (golpistas) encontraram para aproveitar do medo dos usuários. “Essa é uma tentativa de extorquir dinheiro dos usuários, tirando vantagem das fraquezas humanas quando em pânico e sob pressão”, escreveu o pesquisador da Symantec, Jeet Morparia, em um post no blog da empresa.
Ransomwares é a classificação para malwares que, uma vez dentro de um computador pessoal, bloqueiam a máquina e criptografam todos os arquivos e, depois, exibem uma mensagem que pede resgate, um pagamento para que o usuário possa obter o controle sobre a máquina novamente. A técnica está em uso há pelo menos 6 anos e, até recentemente, era rara e ineficaz - os ataques ocorriam principalmente na Europa Oriental.
A nova variante do ransomware, identificada pela Symantec como “Trojan. Ransomlock.G”, mas chamada de “Reveton” por outros fornecedores de antivírus; afirma que qualquer tentativa de burlar o bloqueio desencadeará um desastre. “Uma tentativa de desbloquear o computador levará à formatação completa do sistema. Todos os arquivos, vídeos, fotos e documentos em sua máquina serão apagados”, diz a mensagem que aparece na tela.
Mas isso não é verdade, diz Morparia, que acrescentou que a análise feita pela Symantec não encontrou qualquer capacidade no código do malware que permita a limpeza do disco. E, mais importante, a Symantec foi capaz de remover o Ransomlock.G e destravar o computador sem qualquer formatação ou exclusão de arquivos.
A nova versão também apresenta outras mudanças, disse Morparia, incluindo o aumento no valor do resgate: de 100 dólares, para 200 ou 300 dólares, para destravar o PC. Também é forjado o prazo de 48 horas para efetuar o desbloqueio, apresentado por um temporizador de contagem regressiva exibido na tela.
A Symantec creditou a descoberta das supostas habilidades de formatação do ransomware ao blogueiro conhecido pelo apelido “Kafeine”. Por sua vez, Kafeine deu os créditos para outra empresa de segurança, a Trend Micro, por identificar a variante em 10 de dezembro.
O Ransomlock exibe a mensagem como se fosse uma agência de aplicação da lei, e se adapta às localidades de suas vítimas. Por exemplo, aos usuários dos Estados Unidos é exibida uma mensagem supostamente do Departamento de Justiça do FBI, enquanto os usuários alemães veem uma mensagem alegadamente da Bundesamt fr Polizei, a polícia federal da Alemanha.
A mensagem afirma que o usuário violou uma ou mais leis. Aquelas supostamente do FBI usam como exemplo leis como pornografia infantil, direitos autorais e de licenciamento de software, e alegam que a vítima foi monitorada - inclusive por meio da webcam embutida no computador - vendo pornografia infantil.
Em novembro, a Symantec liberou um relatório que descrevia a rápida expansão de ransomware em mercados ocidentais a partir de suas origens, na Europa Oriental. E que criminosos conseguiram milhões com seus golpes.
Morparia pede às vítimas que não deem dinheiro aos criminosos. “Não paguem o resgate!”, escreveu. Em vez disso, ele sugere que os usuários removam o malware. A Symantec fornece uma ferramenta gratuita, a Norton Power Eraser, que busca e elimina o ransomware e outras formas do “scareware” (falsos softwares antivírus).