Um terceiro ataque de ransomware está em ascensão e já chegou ao Brasil. Depois de casos globais envolvendo WannaCry e ExPetr — também chamado por alguns especialistas de Petya e NotPetya— o novo malware que bloqueia dados dos computadores é o Bad Rabbit. Segundo a Kaspersky, o nome aparece em um site da darknet vinculado ao vírus com uma nota de pedido de resgate em bitcoin (comum em casos de ransom).

A iniciativa começou na Rússia e na Ucrânia e ganhou volume na terça-feira (24), causando atrasos no aeroporto ucraniano de Odessa e afetando vários meios de comunicação na Rússia, incluindo a agência de notícias Interfax e Fontanka.ru. Horas depois, afetou o sistema de metrô em Kiev, na Ucrânia, o que gerou um alerta para outras empresas de serviços de massa e finanças na região.

O que é ransomware: cinco dicas para se proteger

Os criminosos por trás do ataque Bad Rabbit estão exigindo 0,05 bitcoin como resgate — o que é cerca de US$ 280 na taxa de câmbio atual da criptomoeda. Assim como em outros casos, o vírus usa um contador regressivo para pressionar a vítima a pagar pelo resgate o quanto antes. Não há garantias, porém, de que ao pagar a quantia pedida em bitcoin, os hackers vão liberar os seus dados no PC.

Ransomware BadRabbit — Foto: Divulgação/Kaspersky

No Brasil, empresas do setor de comunicação e de outras áreas alertaram para presença do ransomware na manhã desta quarta-feira (25). Segundo análise da Kaspersky, fabricante russa de antivírus, o ataque não usa explorações (exploits). É um drive-by attack: as vítimas baixam um falso instalador Adobe Flash Player de sites infectados e iniciam manualmente o arquivo .exe, infectando os seus PCs.

Vale notar que este é um ataque que funciona em computadores Windows. A Adobe, porém, já anunciou fim do Flash Player para 2020. Em seu lugar, vem sendo usada tecnologia html5.

Ou seja, se você entrar em algum site que solicite a atualização do Flash para ver um vídeo ou ter acesso a algum conteúdo, não a faça via pop-ups do próprio site. Você pode descobrir se está utilizando a versão mais recente no próprio site da Adobe e obter o download seguro e original do Flash caso seja necessário seu uso.

Ao clicar no botão "Instalar", o download de um arquivo executável é iniciado. Este arquivo, encontrado como install_flash_player.exe, é que causa o bloqueio dos seus dados na máquina.

1 de 2 Pop-up distorcido pede atualização com falso Flash — Foto: Divulgação/ESET Pop-up distorcido pede atualização com falso Flash — Foto: Divulgação/ESET

"Nossos pesquisadores detectaram uma série de sites comprometidos, todos sites de notícias ou de mídia", afirma o documento publicado pela Kaspersky. A empresa de segurança, entretanto, ainda não tem informações sobre a possibilidade de recuperar os arquivos encriptados pelo vírus ransomware Bad Rabbit — seja pagando o resgate ou usando alguma falha no código do malware.

A Kaspersky afirma que, por enquanto, a maioria das vítimas do Bad Rabbit está na Rússia. Também foram vistos ataques semelhantes, porém em menor volume, na Ucrânia, na Turquia e na Alemanha. A fabricante de antivírus afirma ainda que o ataque é direcionado contra redes corporativas, usando métodos semelhantes aos usados no ExPetr, incluindo parte do código.

2 de 2 Tela do PC bloqueada após a instalação do falso Flash — Foto: Divulgação/ESET Tela do PC bloqueada após a instalação do falso Flash — Foto: Divulgação/ESET

De acordo com a ESET, a Rússia tinha mais da metade das vítimas nesta manhã, seguida de Ucrânia, Bulgária, Turquia e também do Japão. A fabricante do NOD32 também liberou uma lista de sites afetados que devem ser evitados.

Lista de sites afetados pelo Bad Rabbit que sugerem falso Flash

"Alguns sites populares estão comprometidos com JavaScript injetado em seu corpo HTML ou em um de seus arquivos .js", informa a ESET. São eles:

hxxp://argumentiru[.]com

hxxp://www.fontanka[.]ru

hxxp://grupovo[.]bg

hxxp://www.sinematurk[.]com

hxxp://www.aica.co[.]jp

hxxp://spbvoditel[.]ru

hxxp://argumenti[.]ru

hxxp://www.mediaport[.]ua

hxxp://blog.fontanka[.]ru

hxxp://an-crimea[.]ru

hxxp://www.t.ks[.]ua

hxxp://most-dnepr[.]info

hxxp://osvitaportal.com[.]ua

hxxp://www.otbrana[.]com

hxxp://calendar.fontanka[.]ru

hxxp://www.grupovo[.]bg

hxxp://www.pensionhotel[.]cz

hxxp://www.online812[.]ru

hxxp://www.imer[.]ro

hxxp://novayagazeta.spb[.]ru

hxxp://i24.com[.]ua

hxxp://bg.pensionhotel[.]com

hxxp://ankerch-crimea[.]ru

As informações sobre os métodos de propagação ainda são confusas. Há relatos de que o malware usa mesma falha EternalBlue para se espalhar — o que o tornaria mais próximo de WannaCry e Not-Petya. Outros, afirmam que o vírus tenta acesso via compartilhamentos, usando uma lista pré-definida de usuários e senhas padrão, obtida por meio do Mimikatz. É certo, porém, que o malware usa o DiskCryptor, um software legítimo e opensource de critpografia total do discos.

A Kaspersky sugere desativar o WMI do Windows para evitar infecções em rede.

Para que serve e o que é WMI Provider Host? Tire dúvidas no fórum.