"Se você instalar em um microcomputador… então, nos termos desta licença, você concorda em pagar a PC Cyborg Corporation integralmente pelo custo de locação desses programas". Se você leu essas palavras no seu PC em 1989, parabéns - você foi uma das primeiras vítimas de ransomware, especificamente o Aids Info Disk ou PC Cyborg Trojan, escrito por Joseph Popp.
Esta semana, a BBC informou sobre uma nova forma de ransomware que informa aos usuários de PC que pornografia infantil foi localizada em seu computador e seu PC será bloqueado devido a atividade de rede não autorizada. O malware se apresenta como o Escritório Federal de Segurança da Informação (BKI) da Alemanha e sua agência de defesa de direitos autorais, mas é apenas uma tentativa de fazer com que você desista de suas informações pessoais.
Segundo a Wikipedia, Popp e outros autores de ransomware compartilham características comuns. Não, não o fato de Popp ter sido declarado impróprio para julgamento, apesar de a Wikipedia relatar que sim. Em vez disso, é que Popp e outros autores de ransomware não infectam apenas um PC - eles informam ao usuário que seu PC foi comprometido e geralmente oferecem uma solução. Obviamente, o usuário acaba pagando - em uma ligação paga para um país estrangeiro, baixando uma "correção" (que pode incluir outro malware, para inicializar) ou simplesmente pagando o autor do malware para desbloquear vários arquivos criptografados.
Recentemente, os autores de ransomware passaram a ter vergonha de motivar suas vítimas. Embora os usuários estejam dispostos a descartar um PC que foi infectado, eles provavelmente pagarão mais se acreditarem que a polícia os apóia por pornografia ou algum outro crime - especialmente se for um que eles realmente não cometer, entregar. Aqui está uma breve história do ransomware mais nefasto que já atingiu o PC.
Se você os vir, pare e pense. Você já foi infectado. Encontre um computador (ou telefone) separado e visite o site da PCMag sobre como combater o ransomware. Mas o primeiro e melhor passo? Use uma de nossas soluções de segurança aprovadas. Mas esteja avisado: um pedaço de ransomware exibe o logotipo do PCMag.com. Descubra qual das seguintes páginas.
1 Winlock
Uma das primeiras tentativas de ransomware, o Winlock exibiu imagens pornográficas e solicitou aos usuários que enviassem uma mensagem de texto de valor premium, custando cerca de US $ 10, para receber um código que desbloqueava suas máquinas. O golpe atingiu um grande número de usuários na Rússia e nos países vizinhos - supostamente ganhou o grupo com mais de US $ 16 milhões, segundo a Wikipedia. ( Imagem )
2 Registro mestre de inicialização bloqueado
O ransomware MBR é baixado e instalado por um Trojan da família Oficla. Quando você reinicia após substituir o registro mestre de inicialização do Windows, você recebe esta captura de tela. A alegação de que todos os discos rígidos são criptografados é uma mentira e você não precisa acessar o site deles para obter uma senha. A senha "aaaaaaciip" restaura o MBR original para que o Windows reinicie em todos os sistemas afetados.
3 Pornografia infantil encontrada!
Embora o ransomware mais recente aparentemente mostre imagens da própria pornografia infantil, essa não é a primeira vez que bandidos denunciam essas acusações. Em 2011, o BitDefender descobriu o Trojan.Agent.ARVPin Russia, que bloqueou o PC infectado, e exibiu uma mensagem dizendo que o PC estava bloqueado devido ao fato de encontrar pornografia infantil no sistema do usuário. Exigiu que uma multa de 500 rublos fosse paga em 12 horas. ( Imagem )
4 FakeAV
Uma das formas mais nefastas de ransomware, o FakeAV se disfarça como um programa antivírus "real" e depois aparece mensagens sobre como o seu PC foi "infectado". Para limpá-los adequadamente, é claro, você precisa baixar o software mediante taxa. O grau de engenharia social que este ransomware emprega é superior a ataques normais, que geralmente são detectáveis por gramática ruim ou outros erros. ( Imagem )
5 Falando Ransomware
Não é apenas o suficiente para mostrar fotos. A Trend Micro recebeu recentemente um relatório de que uma nova variante Trojan da polícia ainda tem uma "voz". Detectado como TROJ_REVETON.HM, bloqueia o sistema infectado, mas, em vez de apenas mostrar uma mensagem, agora pede aos usuários que paguem verbalmente. O usuário não precisará de um tradutor para entender o que o malware está dizendo - ele fala o idioma do país em que a vítima está localizada. ( Imagem )
6 armário do silêncio
Em abril, um tipo de ransomware conhecido como "Silence Locker" começou a rodar, oferecendo "curar" um PC por uma taxa. ( Imagem )
7 GPCODE.AD
Em 2006, o GPCODE se infiltrou nos computadores das vítimas e criptografou todos os seus arquivos com uma chave de 660 bits, que os bandidos só desbloqueariam após uma taxa. Em 2008, o TROJ_GPCODE.AD surgiu, de acordo com a Trend Micro, criptografando todos os arquivos com determinadas extensões, com uma chave de 1024 bits mais complexa, tornando os arquivos ilegíveis. Ele exibe a caixa de mensagem a seguir que informa o usuário sobre a criptografia do arquivo e fornece um endereço de email para entrar em contato com quem tiver o decodificador que eles podem usar para recuperar seus arquivos. ( Imagem )
8 Policeware / Ukash
Uma versão relacionada do Silence Locker oferece às vítimas do Reino Unido o direito de comprar sua liberdade em Ukash, depois que o worm trava seus sistemas. ( Imagem )
9 Versão DOJ do Policeware
Alguns usuários encontraram mensagens em seus computadores do Departamento de Justiça dos Estados Unidos alegando ter visitado sites que hospedavam conteúdo ilegal. Na verdade, a mensagem fazia parte de uma infecção por malware e não tinha nada a ver com o pessoal da Justice, de acordo com pesquisadores da Trusteer Intelligence. Os usuários estão sendo infectados pelo ransomware Reveton como parte de um ataque maior de download drive-by que instala o malware Citadel em seus computadores. Este ataque surgiu em maio de 2012.