Novo malware foi produzido no Brasil utilizando ferramentas conhecidas no mundo todo e utilizado em outros grandes ataques.
A notícia divulgada esta semana de que um malware tipo ransomware 100% brasileiro havia sido criado surpreendeu muita gente. Há quem bata no peito com orgulho por saber que o Brasil de alguma forma está “evoluindo” na área tecnológica e de pesquisa, enquanto muitos ficaram espantados em saber o quão perto estão de uma ameaça cibernética. Neste artigo, explicamos do que se trata o CRYbrazil e damos dicas de como lidar com este tipo de ameaça, que diga de passagem vem sendo bloqueada pelo Avast há bastante tempo.
Antes de entender o que é este malware especificamente, é preciso voltar um pouco no tempo. Embora ataques de ransomware vem se popularizando há alguns anos, foi em maio do ano passado que ele tornou-se famoso com o WannaCry, um vírus de proporção sem precedentes na história da computação que derrubou sistemas operacionais de hospitais no Reino Unido e da Telefonica, forçando a empresa espanhola a desligar os computadores de milhões de seus empregados no mundo todo. Logo em seguida, no fim do mês de junho, o Petna fez algo similar, não no mesmo nível de alcance, mas sequestrou arquivos de muitos computadores.
Na verdade, ambos ransomwares, com nomes diferentes, eram derivados do mesmo malware, ou seja, eram mutações do mesmo vírus. Os cibercriminosos agem dessa forma tentando enganar as empresas de antivírus, que criam vacinas baseadas em um código específico. Entretanto, com a utilização de ferramentas de aprendizagem de máquina, hoje em dia já é possível identificar essas mutações em tempo real e, dessa forma, mesmo sem uma vacina para um vírus específico, bloquear uma ameaça antes mesmo de ela causar danos ao seu computador. É uma briga de gato e rato, mas pode-se dizer que ratos cibernéticos estão a cada dia com menos espaço para atacar.
Voltando ao CRYbrazil, este malware é uma variação de um outro ransomware, o HiddenTear. Dele surgiram muitas outras ameaças com nomes diferentes e, pode-se dizer, que a cada semana uma variação do HiddenTear é criada, embora seus ataques até então não tenham ganho uma repercussão tão grande quanto do WannaCry, o que não significa que sejam perigosos e capazes de causar danos.
Como o CryBrazil foi criado
Para criar novos malwares de uma mesma “família” não é preciso muito esforço. Acredite se quiser, mas hoje em dia existem “pacotes” de ransomware disponíveis online para serem adquiridos a custos baixíssimos. Muito provavelmente, este foi o caso do CRYbrazil.
Isto porque, de acordo com engenheiros de malware da Avast que identificaram e frearam esta ameaça, o CryBrazil é uma variação do HiddenTear cujo código pode ser facilmente encontrado em sites como o GitHub. Em outras palavras, ao que tudo indica, um cibercriminoso adquiriu um pacote de malware com códigos que foram baseados no HiddenTear, manipulou esses códigos para criar um malware único e nomeá-lo como CRYbrazil.
Ou seja, quem bateu no peito com orgulho ao saber que agora temos até um ransomware 100% brasileiro, pode baixar a euforia, pois de Brasil ali só tem mesmo o texto utilizado pra anunciar o ataque, pois o resto se trata de um “pacote de serviços” comprado, muito provavelmente, em um site estrangeiro. Já os que se assustaram com a proximidade da ameaça, saiba que na internet não há fronteiras, e mesmo um cibercriminoso localizado em um país aleatório do outro lado mundo pode realizar um ataque no Brasil em questão de segundos. Portanto, proteja-se!
Em tempo: para aqueles que acabaram sendo vítimas deste ou de outro ataque de ransomware, saiba que as chances de recuperar os seus arquivos são muito pequenas, entretanto, não recomendamos o pagamento de resgate, pois além de não garantir a devolução dos dados, ainda incentiva mais ataques. A sugestão que fica neste caso é tentar utilizar as nossas ferramentas gratuitas de descriptografia de ransomwares.