Quando os primeiros vírus de computador apareceram, as maldades eram assustadoras mas nem sempre verdadeiras: um deles anunciava “formatting hard drive C:”, outro (o Cascade) literalmente demolia planilhas, deixando uma pilha de letras e números amontoados no pé da tela. Alguns eram “fake”, outros de verdade.
Ultimamente o malware em geral tem sido utilizado para capturar dados na surdina e assaltar contas bancárias, mas há muitos que praticamente apontam uma arma para você: esse tipo é o “ransomware”, que exige o pagamento de um resgate para não inutilizar todos os dados do seu computador. Um dos piores já detectados até agora é o Cryptolocker. Ele apareceu dia 16 de setembro e é espalhado via redes sociais, emails e botnets – os servidores-zumbis que estão pela internet -, e ataca o Windows.
Não sabe sabe muito sobre ele, por enquanto, mas o que ele faz é o seguinte: mostra uma tela semelhante à deste texto com um texto informando que todos os arquivos de dados do computador foram criptografados – textos, fotos, vídeos, planilhas, tudo. Um link premite ao usuário ver a lista dos arquivos criptografados. Um contador exibe uma contagem regressiva de 96 horas, prazo no qual o usuário terá de pagar entre US$ 100 e US$ 300 para obter a chave privada, que se encontra em algum computador na internet. Se o resgate não for pago nesse prazo, a chave será destruída. Simples assim. Certas tentativas de reparação podem ser detectadas e isso também causará a destrtuição da chave.
Simples assim. Com vacinas ou não, a melhor providência, sempre, é o backup. Sem backup, a encrenca é MUITO feia: se o prazo expirar, os arquivos estão criptografados para sempre, com RSA de 2048 bits! O vírus vai se desinstalar automaticamente e deixará um zBot de nome aleatório rodando, possivelmente para capturar teclado. Bem, a remoção do CryptoLock é simples, pode ser feita com MalWareBytes, SuperAntiSpyware, AV, etc, mas isso não resolve o problema dos arquivos criptografados. E se o malware for desinstalado a chance de recuperar os arquivos com a chave privada desaparece. Outra: se você mudar os arquivos de lugar, a decriptação falha. Se você remover e depois decidir reinstalar o malware, ele encriptará os arquivos de novo!
Dito isto, a solução para recuperar tudo é pagar o resgate – há registros de que funciona, e o pagamento tem de ser em MoneyPak ou Bitcoins – a decriptação acontece a uma velocidade de 5GB por hora. Ao mesmo tempo, há rumores de que mesmo quando se tenta pagar o resgate a chave
A maior quantidade de informaçõçes que eu localizei sobre o assunto está com a Bleeping Computer, em
http://www.bleepingcomputer.com/virus-removal/cryptolocker-ransomware-information
Eu ouso acrescentar o seguinte: o código deve estar sendo vendido a peso de ouro na deep web e em algum momento vai cair no Brasil, onde precisará apenas ser traduzido.É só uma questão de tempo.
