No ano passado, tivemos o enorme ataque do WannaCry, um malware que criptografa arquivos e pede resgate na forma de bitcoin. Ele infectou mais de 200 mil computadores, e abriu caminho para outras pragas como Petya/NotPetya e Bad Rabbit.

Criar um ransomware não é uma tarefa muito difícil se você tem alguma experiência com programação. Na verdade, existem alguns projetos de código aberto que mostram isso — e o CryBrazil se inspira neles.

O CryBrazil foi descoberto este mês pela equipe do MalwareHunterTeam. Ele é distribuído como um arquivo com ícone de PDF e extensão .exe. Basta abri-lo, e os arquivos pessoais no seu computador — como fotos, músicas, vídeos e documentos — serão criptografados.

Seus arquivos vão ganhar a extensão .crybrazil, e seu papel de parede será alterado pela imagem acima, dizendo “Atenção, crianças! Ele que é o palhaço, mas sou eu quem põe fogo no circo”. Por fim, o ransomware coloca um arquivo SUA_CHAVE.html na área de trabalho, com o mesmo texto do papel de parede.

Ele avisa que seus arquivos foram criptografados, e pede para entrar em contato através de um e-mail associado ao Los Alpha Group. Trata-se de um fórum sobre segurança da informação, com tutoriais para keyloggers, phishing e — sim — ransomware.

CryBrazil ransomware sample: https://t.co/6jWAMQGQlq

Extension: .crybrazil

Mostly Hidden Tear with some codes from Eda2 & seems compiled w/ Italian VS. Maybe related to OpsVenezuela?

🤔

C2 is already down.@BleepinComputer @demonslay335 pic.twitter.com/Y4cJEvHdXZ — MalwareHunterTeam (@malwrhunterteam) June 2, 2018

O CryBrazil é baseado no Hidden Tear, projeto de código aberto criado pelo desenvolvedor Utku Sen. A ideia era mostrar como é simples fazer um ransomware em C#. Ele criptografa certos tipos de arquivo usando AES e envia a chave para servidores controlados pelo malware.

Sen também é autor do EDA2, versão expandida do Hidden Tear com mais recursos — incluindo a capacidade de trocar o papel de parede da vítima. O CryBrazil adota elementos desse malware.

O desenvolvedor avisa que o EDA2 “pode ser usado apenas para fins educacionais. Não o utilize como ransomware! Você pode ir para a cadeia por obstrução de justiça apenas por rodá-lo, mesmo se for inocente”.

No entanto, ele vem sendo usado de forma maliciosa há alguns anos. Um dos tópicos no fórum Los Alpha Group menciona o EDA2, e possui o mesmo aviso no final:

O pesquisador de segurança GrujaRS fez um vídeo demonstrando o ataque do CryBrazil em um ambiente controlado.

Ele é detectado como trojan pelos principais antivírus, como o da Microsoft (embutido no Windows 8 e 10), Avast, Kaspersky e AVG. Entre os poucos antivírus que marcam o arquivo como “limpo”, estão o Baidu e o Kingsoft.

Ou seja, não é provável que tenhamos uma epidemia do CryBrazil tão cedo. Mas, como esse tipo de ameaça sempre estará presente, é preciso manter boas práticas de segurança, como manter seu antivírus atualizado; fazer backup dos seus arquivos; e tomar cuidado com executáveis.

Com informações: Bleeping Computer.