Criar um ransomware não é uma tarefa muito difícil se você tem alguma experiência com programação. Na verdade, existem alguns projetos de código aberto que mostram isso — e o CryBrazil se inspira neles.
O CryBrazil foi descoberto este mês pela equipe do MalwareHunterTeam. Ele é distribuído como um arquivo com ícone de PDF e extensão .exe. Basta abri-lo, e os arquivos pessoais no seu computador — como fotos, músicas, vídeos e documentos — serão criptografados. Seus arquivos vão ganhar a extensão .crybrazil, e seu papel de parede será alterado pela imagem acima, dizendo “Atenção, crianças! Ele que é o palhaço, mas sou eu quem põe fogo no circo”. Por fim, o ransomware coloca um arquivo SUA_CHAVE.html na área de trabalho, com o mesmo texto do papel de parede. Ele avisa que seus arquivos foram criptografados, e pede para entrar em contato através de um e-mail associado ao Los Alpha Group. Trata-se de um fórum sobre segurança da informação, com tutoriais para keyloggers, phishing e — sim — ransomware.
— MalwareHunterTeam (@malwrhunterteam) June 2, 2018 O CryBrazil é baseado no Hidden Tear, projeto de código aberto criado pelo desenvolvedor Utku Sen. A ideia era mostrar como é simples fazer um ransomware em C#. Ele criptografa certos tipos de arquivo usando AES e envia a chave para servidores controlados pelo malware. Sen também é autor do EDA2, versão expandida do Hidden Tear com mais recursos — incluindo a capacidade de trocar o papel de parede da vítima. O CryBrazil adota elementos desse malware. O desenvolvedor avisa que o EDA2 “pode ser usado apenas para fins educacionais. Não o utilize como ransomware! Você pode ir para a cadeia por obstrução de justiça apenas por rodá-lo, mesmo se for inocente”. No entanto, ele vem sendo usado de forma maliciosa há alguns anos. Um dos tópicos no fórum Los Alpha Group menciona o EDA2, e possui o mesmo aviso no final:
O pesquisador de segurança GrujaRS fez um vídeo demonstrando o ataque do CryBrazil em um ambiente controlado. Ele é detectado como trojan pelos principais antivírus, como o da Microsoft (embutido no Windows 8 e 10), Avast, Kaspersky e AVG. Entre os poucos antivírus que marcam o arquivo como “limpo”, estão o Baidu e o Kingsoft. https://www.youtube.com/watch?v=iysD4hyKA0U Ou seja, não é provável que tenhamos uma epidemia do CryBrazil tão cedo. Mas, como esse tipo de ameaça sempre estará presente, é preciso manter boas práticas de segurança, como manter seu antivírus atualizado; fazer backup dos seus arquivos; e tomar cuidado com executáveis. Com informações: Bleeping Computer.
