O ARIS-LD, grupo de análises e resposta a incidentes de segurança da Linha Defensiva, obteve acesso a um código malicioso de origem brasileira que utiliza técnicas de sequestro ou ransomware para forçar a compra de um programa que teria o objetivo de “limpar” o computador.
Ransomwares são softwares maliciosos que forçam o usuário a pagar para ter seu computador livre de um problema que o próprio programa causou. Os primeiros casos desse tipo de malware apareceram em 1989, com um vírus chamado Aids Info Disk. O termo foi criado em 2005, quando surgiu o trojan GPCode, que criptografava o conteúdo do disco rígido do usuário e pedia dinheiro para liberar o acesso.
A praga descoberta pela Linha Defensiva é a primeira de origem brasileira a usar tais técnicas de extorsão de que se tem notícia. Antes, elas só eram vistas em pragas estrangeiras.
O golpe brasileiro começa com um falso e-mail apresentando ao usuário um suposto convite de formatura:
Assunto: Olá, estou te enviando meu convite de formatura com local, data e hora
CONVITE
Olá, estou te enviando meu convite de formatura com local, data e hora.
Conto com sua presença.
Nos encontramos lá,
Abraços…Anexo:
ConviteFormatura.pps (52KB)
Ao ser aberto, o malware se instala no sistema e impede que o usuário abra pastas, programas e documentos. A lista de itens bloqueados pelo malware é extensa:
Ao tentar abrir um documento criado nos programas listados acima, o usuário recebe a seguinte mensagem na tela, referenciando a um certo “erro no modulo do windows versão 4817.3812 (32 bytes)”:
O link na mensagem leva até o site brasileiro do falso antivírus Byte Clark, que diz resolver o problema mediante a compra do programa, que custa R$ 20,00. Segundo o registro.br, responsável pelo registro de sites no Brasil, o dominio byteclark.com.br foi criado em 12 de abril passado e está registrado para a uma empresa sem relação com o desenvolvimento de softwares.
Ao ser instalado no computador, o programa “antivírus” apenas remove os arquivos que foram implantados por ele próprio.
No momento da análise, nenhum programa antivírus dos 40 disponíveis no serviço de análise VirusTotal detectou a praga brasileira.
Ao se instalar no sistema, o malware cria os seguintes arquivos e chave nos registro:
O arquivo byte.ccs traz dados da máquina infectada, como sistema operacional e outros dados pessoais. Eles são enviados para o endereço de e-mail tramposerio40@gmail.com
A ferramenta de remoção BankerFix, da Linha Defensiva, já remove esse malware e os arquivos criados por ele.
17/05 - Ladrão de senhas usa truque para tentar burlar ‘Guardião’ do Itaú
16/05 - Ataque ‘misterioso’ envolve arquivo falso em endereços legítimos
16/05 - E-mail com ‘notificação do Facebook’ distribui ladrão de senhas
15/05 - Golpe prometendo fotos de Carolina Dieckmann já afetou 3000 usuários
04/05 - Parceiro chinês vazou dados de falha de segurança, diz Microsoft
04/05 - Criminosos transformam milhas aéreas roubadas em gasolina
01/05 - Fraude por e-mail: ‘você teve uma foto marcada no Messenger’
01/05 - Fraude por e-mail: ‘Delegacia Eletrônica – Registro de ocorrência’
28/04 - Em SP, concurso convida ‘hackers’ a melhorar transparência pública
27/04 - Provedores devem descontar horas perdidas por rompimento de fibra
Cadastre-se e receba em seu e-mail
Anuncie | Termos de Uso | Politica de Privacidade | WP | ASAP
Editado por Altieres Rohr. Mantido pelo Staff Linha Defensiva
Apoio: Revenda de hospedagem de sites em datacenter no Brasil, dominios ilimitados
![[ Ampliar ]](/wp-content/uploads/2009/05/site.jpg){kind=link}
![[ Ampliar ]](/wp-content/uploads/2009/05/img1.jpg){kind=link}