Praga ‘sequestra’ computador e pede US$ 3 mil de resgate no Brasil

Arquivos são criptografados com senha de 256 caracteres. Fraude afeta servidores com Windows e tem origem no leste eurupeu.

Imagem_Computador_Infectado
 
Técnicos de informática estão relatando na web que um golpe comum em outras partes do mundo tem feito diversas vítimas no Brasil: o "sequestro" de computadores e arquivos. Esse tipo de ataque bloqueia o sistema ou codifica os arquivos e documentos armazenados, de modo a impedir o acesso, e exige que a vítima entre em contato com o criador do vírus e faça um pagamento para que uma senha seja liberada. Os relatos apontam que o pagamento exigido tem sido de US$ 3 mil a US$ 9 mil (R$ 6,6 mil a R$ 20 mil).
 
Um fórum on-line da Microsoft contém diversas publicações feitas por técnicos que tiveram contato com sistemas afetados (veja aqui). Os computadores infectados são aparentemente servidores em sua maioria. Há suspeita de que a praga estaria entrando no sistema por meio do protocolo de Área de Trabalho Remota (RDP, na sigla em inglês). Uma brecha corrigida pela Microsoft em 2012 e que permite o acesso via RDP sem uso da senha também poderia estar sendo usada para o ataque, juntamente com outra vulnerabilidade semelhante deste ano. Os identificadores técnicos das falhas na Microsoft são MS12-020 e MS13-029.
O computador infectado exibe uma tela de "instruções" para a vítima, que afirma em texto claro que ela está sendo vítima de um golpe e que não há meio de recuperar os arquivos sem realizar o pagamento. De acordo com a ameaça, a senha usada para codificar os arquivos teria 256 símbolos, de tal maneira que tentar todas as alternativas poderia levar milhares de anos.
 
Os arquivos codificados estão no formato WinRAR. Depois que os arquivos são convertidos para esse formato, os originais são removidos do sistema. No nome do arquivo codificado está o endereço de e-mail dos criminosos, que terá de ser contatado para fazer o pagamento e obter a senha.
Felippe Barros, especialista em segurança da Logical IT, recebeu um chamado de um cliente que foi vítima do ataque. O computador infectado era um notebook, cujo responsável já havia reiniciado e tentado consertar com soluções antivírus. De acordo com Barros, essa não é a atitude correta. "Se não tivesse reiniciado, a chave de criptografia ainda poderia ser achada na memória", explicou.
 
O dinheiro, três mil dólares, foi solicitado para ser pago pelo serviço PerfectMoney.
Barros recomenda que o computador infectado não seja reiniciado e que nenhuma ferramenta antivírus seja usada. Empresas que forem vítimas devem procurar um especialista em segurança para analisar o caso. No caso que ele analisou, o especialista conta que o cliente acabou decidindo por restaurar uma cópia de backup dos dados.
Marcelo Pedro, da MR Solutions Informática, enviou ao G1 fotos de um servidor infectado pelo vírus. De acordo com ele, a suspeita nesse caso é de que o vírus tenha mesmo entrado pelo protocolo de administração remota do sistema. "Já houve várias empresas que pagaram para liberar", observou Pedro, comentando sobre os relatos já publicados na web.
Ransomware
 
Esse tipo de golpe, conhecido pelo termo "ransomware" – ransom é a palavra inglesa para "resgate" em um sequestro. O ransomware tem várias formas: algumas delas bloqueiam o acesso ao computador apenas, outros baixam imagens de pornografia infantil e há ainda ameaças que ocorrem dentro do navegador web, sem a instalação de um vírus.
A codificação de arquivos para exigência de resgate é bastante conhecida desde 2005, com a disseminação do vírus Gpcoder. Em alguns casos, falhas na praga digital permitem que os arquivos sejam decifrados. Em ameaças recentes, a senha precisa ser descoberta.
 
O analista de segurança da informação Dennis Fernandes também teve contato com um sistema infectado. A empresa, cliente do especialista, decidiu pagar a quantia pedida de US$ 9 mil, paga em três parcelas de US$ 3 mil, devido ao limite de transferência imposta pelo serviço de pagamento usado. Fernandes diz que, após o pagamento, a senha foi fornecida e os arquivos foram recuperados, mas que, como a empresa desistiu de realizar uma análise mais profunda e optou pelo pagamento, ele não sabe de outros detalhes do golpe.
 
Fonte: G1