(Fonte da imagem: Reprodução/Baguete)

Pesquisadores dos laboratórios da Trend Micro informam que um novo malware sequestrador está rondando a rede. Trata-se de uma nova versão do BitCrypt, o BitCrypt2, que é classificado também como ransomware.

Segundo informações divulgadas, ele criptografa arquivos de diversas extensões na máquina atingida, além de cobrar um resgate em Bitcoins e trazer um suposto arquivo de ajuda em diversos idiomas, inclusive português brasileiro. 

Para Fernando Mercês, um dos pesquisadores que analisou a ameaça, esse é um dos aspectos mais preocupantes, o que indica a participação de criminosos locais no desenvolvimento do malware e a adição dos brasileiros no raio de ação do BitCrypt2. 

Entendendo a ameaça 

Relatórios da Trend Micro indicam que a ameaça pode chegar por email, redes P2P ou outras formas menores. Quando instalado, o malware faz buscas por arquivos de extensão PPT, PDF, DOC, JPG, PHP, JS, MDB e outros de imagens, documentos e banco de dados. 

Ao encontrá-los, ele os criptografa com uma chave única e aleatória RSA-1024 bits, e os itens afetados são renomeados para receber um “.bitcrypt2” no nome. Antes de se apagar, porém, ele desabilita o gerenciador de tarefas, o editor de registros e o modo de segurança da máquina. 

Também é exibida uma mensagem, no plano de fundo do computador, alertando sobre a infecção. O usuário vai notar a criação de um arquivo de texto com instruções em nove idiomas além do português brasileiro, no qual é mencionado que a vítima deve visitar o site dos criminosos e digitar o código da ameaça em um campo específico. 

O próximo passo é transferir 0,4 bitcoin (aproximadamente US$ 250 ou R$ 587), em troca de uma chave para descriptografar os arquivos infectados. 

Proteção e remoção 

A melhor forma de evitar a contaminação é tendo um bom antivírus instalado na máquina e não clicar em links suspeitos ou instalar arquivos originários deles, especialmente com extensões duplas (“pdf.exe”, por exemplo). Caso já tenha sido pego, existe a possibilidade de apenas remover o vírus procurando pelos arquivos “BitCrypt.txt”, “BitCrypt.bmp” e “bitcrypt.ccw”. Ao encontrá-los, basta apagá-los permanentemente (Shift + Delete). 

É recomendado o escaneamento com um antivírus após realizar esses procedimentos. Entretanto, foi mencionado que os arquivos afetados não são recuperados ao realizar esses passos – ou seja, é necessário ter um backup de tudo que está no disco rígido da máquina.

Cupons de desconto TecMundo: