São Paulo, 16 de abril de 2009

A Trend Micro descobriu uma nova geração de softwares maliciosos que aprimoram as rotinas dos falsos programas antivírus, ao adicionar um componente ransomware - detectado pela Trend como TROJ_FAKEALE.BG. O ransomware pode fechar, criptografar e misturar arquivos (de texto, planilhas, músicas, fotos, etc.) da pasta Meus Documentos do computador infectado. Na prática, isso significa um "sequestro" dos arquivos dos usuários que, para voltar a acessá-los, precisam pagar uma espécie de resgate -- em geral, esse código malicioso inclui um alerta exigindo do usuário o fornecimento de uma chave para liberá-los.

O ransomware infecta o computador pela internet e possui dois outros componentes (um arquivo DLL e um EXE) que desempenham um papel fundamental no ataque. Depois de executar a criptografia, o DLL informa ao usuário que os arquivos que está tentando abrir foram corrompidos. Além disso, exibe uma mensagem quando o usuário tenta acessar os arquivos criptografados e, ainda, pode mostrar um aviso de erro na barra de tarefas. Uma opção de reparo é oferecida nas caixas de mensagens. Mas, ao clicar nesse botão, o usuário é redirecionado para um site que contém o software FileFix Professional 2009.

O FileFix, supostamente, resolve o problema dos arquivos corrompidos, permitindo que os usuários voltem a abrir seus arquivos. Na verdade, o programa libera apenas um arquivo. Para solucionar mesmo o problema, os usuários são informados de que devem fazer o download da versão paga do FileFix, por 50 dólares. Em sua análise, a Trend Micro constatou que alguns domínios que hospedam esse falso antivírus já estiveram envolvidos em fraudes e em outros esquemas criminosos detectados em 2007. Os mesmos domínios hospedam variantes recentes relacionadas ao botnet Storm/Waledac.

O falso antivírus ransomware representa um novo risco para os usuários web. Suas primeiras variantes induzem os usuários desprevenidos a pagar por um software banal que não faz nada além de fomentar esse engano. Esse ataque não só coloca em risco a segurança do computador como também dos arquivos contidos nele. Os usuários que recebem essa ameaça perdem dinheiro quando pagam aos criminosos pela liberação e, ainda, ficam expostos a perdas maiores -- as informações de pagamento capturadas pelos cibercriminosos podem ser armazenadas para uso próprio ou para venda em fóruns clandestinos.