Novo vírus se disfarça de atualização do Windows para sequestrar dados

A um bom tempo temos noticiado incidentes envolvendo a família de malwares Ransomware (responsável por criptografar os dados do computador, e exigir pagamentos como resgate).

A forma de infecção normalmente se dá, através de arquivos infectados por email, pendrives, ou arquivos compartilhados, muitas vezes se passando por arquivos falsos .PDF, .DOC e .XLS, extensões de arquivos amplamente utilizados.

No entanto, uma nova era de ransomware foi identificado, se passando por recursos nativos do próprio Windows, como o serviço de atualização Windows Update.

Windows Update

 

Recentemente foram identificadas pela AVG, a nova família de ransomware, chamada de Fantom. O malware se disfarça do Windows Update para infectar a máquina e criptografar os dados do usuário.

A infecção deste tipo de malware se dá através de pop-ups de sites infectados, onde é solicitado a atualização de plugins, e é nesse momento que a infecção acontece.

 

Windows Update falso

Windows Update falso

 

Windows Update original

Windows Update original

 

Após a infecção, a tela do usuário passa ficar bloqueada, tendo acesso somente as instruções de pagamento para a obtenção da chave de criptografia, onde o valor cobrado muitas vezes é em dólar, mas novas pragas já estão cobrando também em bitcoin, uma moeda digital, muito difícil de se rastrear.

 

Tela de bloqueio exigindo o resgate

Tela de bloqueio exigindo o resgate

 

Uma das grandes inovações deste ransomware se comparado a outros da mesma família, é a geração dinâmica de uma chave criptografada para cada alvo, o que dificulta o gerenciamento das chaves por parte do sequestrador. E essa é uma outra tática utilizada pelos sequestradores, forçando o pagamento do resgaste o quanto antes, pois a todo momento é informado que os dados serão deletados.

Ainda na tela de bloqueio é informado que as pessoas não tentem descriptografar o arquivo, o que poderia danificar os arquivos criptografados, impossibilitando por completo a recuperação dos arquivos.

 

Fonte: AVG