Todas as caras do ransomware Crypt888; vA�rus busca vA�timas no Brasil
O Crypt888 A� um arquivo malicioso que se enquadra na categoria de ransomware, ou seja, ele criptografa todo o conteA?do do HD da vA�tima e cobra um a�?resgatea�? para a devoluA�A?o de dados. ApA?s atingir usuA?rios na ItA?lia e RepA?blica Tcheca, o Crypt888 chega ao Brasil e agora busca por novas vA�timas.
O vA�rus foi descoberto em junho de 2016 por pesquisadores da Avast!, conhecida empresa de antivA�rus. De lA? pra cA?, o ransomware jA? foi visto em pelo menos trA?s lA�nguas. Sua apariA�A?o mais recente foi em portuguA?s e apresentava instruA�A�es de pagamento em bitcoins, uma forma de dinheiro virtual e nA?o rastreA?vel.
Uma faceta peculiar deste vA�rus A� que boa parte de seu cA?digo A� o mesmo. Uma das poucas alteraA�A�es foi o papel de parede que A� instalado no computador da vA�tima e que traz as instruA�A�es para o pagamento do resgate. Todas as outras partes do cA?digo, como o algoritmo de criptografia, a chave de criptografia, nomes de arquivos e demais partes do cA?digo permanecem as mesmas. Estas informaA�A�es estA?o em um script chamado a�?Autolta�?.
No total, os pesquisadores da Avast jA? descobriram cinco versA�es deste malware. A primeira delas foi em 22 de junho de 2016 e parecia ser apenas uma versA?o de testes. O vA�rus mudava o papel de parede do usuA?rio para uma imagem do Guy Fawkes, sA�mbolo do grupo hacktivista Anonymous e nele tinha uma mensagem que acusava a vA�tima de ter roubado uma certa quantia em bitcoins, mas nA?o trazia nenhuma informaA�A?o sobre como o pagamento do resgate deveria ser feito.
Em 08 de Julho, uma nova versA?o foi encontrada, com modificaA�A�es no papel de parede. A histA?ria do roubo havia sumido, porA�m ainda nA?o existia informaA�A�es sobre contas bancA?rias ou bitcoins. AtA� que em 29 de julho foi encontrada a versA?o italiana do vA�rus.
O papel de parede agora estava com uma mensagem em italiano e com erros ortogrA?ficos a��A�A�o que sugere uma traduA�A?o automA?tica. Sendo assim, os criadores do vA�rus nA?o sA?o italianos. O cA?digo do arquivo foi ofuscado, mas permanecia essencialmente o mesmo. Mesmo assim, ainda nA?o havia nenhuma informaA�A?o de como o pagamento poderia ser efetuado. Dessa maneira, as vA�timas italianas estavam com seus arquivos criptografados mas sem saber como fazer o resgate.
Em 21 de setembro, a versA?o tcheca A� descoberta. Apesar do cA?digo ser o mesmo das versA�es anteriores, a mensagem mudou bastante. Nela, os criadores do vA�rus tentam enganar as vA�timas afirmando que eles sA?o, na verdade, o ransomware Petya a�� que ainda nA?o tem um mA�todo vA?lido para descriptografia.
Isso servia para desestimular usuA?rios que tentassem buscar alguma saA�da online. A�O valor de resgate era de 0,8 bitcoins, o que dA? um valor aproximado de US$ 480. AlA�m disso, agora as vA�timas tinham um prazo de apenas cinco dias para pagarem. PorA�m, nenhuma penalidade era estipulada para caso o prazo nA?o fosse cumprido.
Por fim, em outubro, foi descoberta a versA?o brasileira. Novamente, a mensagem havia sido traduzida de maneira automA?tica para nosso idioma, mas estava mais detalhada. O valor cobrado por eles A� de R$ 2.000 e hA?, inclusive, um guia que ensina como comprar bitcoins.A�Felizmente, como o cA?digo do malware nA?o foi alterado, os pesquisadores do Avast conseguiram desenvolver uma soluA�A?o que funciona para todas as versA�es do Crypto888.
Fonte:A�TechTudo