Descoberto em Junho de 2016 pelos pesquisadores do Threat Lab da Avast, o ransomware Crypt888, também conhecido como MicroCop e Mircop, está atacando os PCs de usuários brasileiros: depois de ter-se apresentado com telas de resgate em italiano e checo, o malware agora traz tela em português e indicações sobre como as vítimas podem fazer o pagamento adquirindo Bitcoins pelo site Mercado Bitcoin.
Segundo o pesquisador Jakub Kroustek, a evolução do Crypto888 foi muito peculiar: “Enquanto monitoramos essa ameaça, descobrimos que o papel de parede (wallpaper) contendo instruções de resgate é a única parte do Crypto888 que já mudou. Esses papéis de parede são usados para apresentar as instruções de resgate em uma variedade de línguas, com base no alvo de uma campanha em andamento. Já vimos imagens feitas sob medida para vítimas na Itália e República Checa, e pela primeira vez aparece uma feita para o Brasil”, conta ele.
Por outro lado, diz o pesquisador, o script malicioso subjacente ‘AutoIt’ manteve-se mais ou menos o mesmo em todas as versões conhecidas desse malware. Assim também ficaram o algoritmo de criptografia, a chave de criptografia, os nomes de arquivo e vários outros componentes, o que não é tão comum: “Mas isso também significa que o nosso decodificador gratuito pode resgatar os arquivos criptografados por ele. No entanto, também mostra que a maneira pela qual o Crypt888 se apresenta continua mudando”, detalha Kroustek.
Mudar o idioma no qual a mensagem de resgate é entregue tem sido uma marca desta ameaça em particular. O pesquisador diz que houve as seguintes evoluções do Crypt888 desde a sua primeira aparição em junho deste ano.
- Versão “Guy Fawkes”, 22 de junho de 2016: primeira versão conhecida
- Versão “Cartão de Visita”, 08 de julho de 2016: esta versão tem toda aparência de uma versão de teste, já que não existem instruções de pagamento
- Versão “Italiana”, 29 de julho de 2016: esta versão tinha vários recursos novos e os erros na língua sugerem que foi feita tradução automática
- Versão “Checa”, 21 de setembro de 2016: mais uma vez com erros, sugerindo o autor não é um nativo
- Versão “Brasil”, 15 de outubro de 2016: a mais recente variedade aparece em mais outro idioma
O primeiro encontro
A primeira versão conhecida do Crypt888 apareceu com papel de parede preto com a imagem de uma máscara de Guy Fawkes, um notório símbolo geralmente associado ao coletivo Anonymous. A mensagem acusava a vítima de ter roubado 48,48 Bitcoins (R$ 90.000) de “pessoas erradas” e exigia sua devolução.
A ameaça detalhava que haveria repercussões, diz Kroustek, mas não havia detalhes sobre como fazer o reembolso ou de que forma o processo de descriptografia iria ocorrer após o pagamento. “Esta é provavelmente a razão pela qual, até agora, só foi encontrada uma transação no endereço bitcoin fornecido para o recebimento”, diz ele.
Testando, testando, 1… 2… 3…
“Algumas semanas mais tarde, identificamos uma segunda versão. Desta vez, o papel de parede com a história e as acusações tinha desaparecido. Na verdade, não havia instruções de pagamento, e em vez disso o papel de parede continha o ‘Cartão de Visita’”, explica o pesquisador.
“Nós não temos nenhuma explicação clara do por que essa imagem em particular ter sido usada, mas achamos que era provavelmente uma versão de teste, por causa do fato de que não havia instruções ou endereços de pagamento fornecidos às vítimas. Por precaução, no entanto, lançamos uma ferramenta gratuita de descriptografia do Crypt888, que foi capaz de recuperar arquivos criptografados tanto por esta quanto pela versão anterior.”
O caso Italiano
“Três semanas mais tarde”, conta ele, “identificamos uma outra versão do Crypt888, trazendo várias alterações. Embora o código AutoIt fosse mais uma vez semelhante ao das versões anteriores e com o uso dos mesmos algoritmos – por isso a nossa ferramenta de decodificação continuou sendo totalmente funcional – o código foi ofuscado”.
Havia segundo ele uma nova imagem que continha instruções de resgate em italiano, com erros ortográficos e que sugerem tradução automática: “Além disso, esta versão do Crypt888 não criou o arquivo de texto LEGGIMI.txt (ou LEIAME.txt), que deve conter as instruções de pagamento. Isso significa que as vítimas se encontrariam com arquivos criptografados e nenhuma instrução sobre a forma de recuperá-los.
Cheque-mate
O pesquisador independente de Malware S!Ri identificou esta versão um mês após a versão italiana: “Nós investigamos mais e descobrimos que seu código não estava mais ofuscado e, essencialmente, era o mesmo das duas primeiras versões, sendo o papel de parede a única diferença notável. Estas instruções de resgate desta vez aparecem em Checo e se afastam das versões anteriores em termos de conteúdo. Em primeiro lugar, o ransomware afirma que é um ‘Petya ransomware 2017 ‘. Mas não se deixe enganar – não é. Esta é provavelmente uma manobra para enganar as vítimas atingidas pelo Crypt888 que estão tentando encontrar uma solução gratuita online”, acrescenta Jakub Kroustek.
O Petya segundo ele é uma peça de ransomware muito mais sofisticada e não é desencriptável no momento: “Esta não é a primeira vez que uma variedade de ransomware finge ser outra; observamos em várias ocasiões tipos menos conhecidos disfarçados de mais famosos como o TeslaCrypt, CryptoLocker ou CryptoWall. A versão Checa também difere pelo fato de que o valor de resgate é de “apenas” 0,8 Bitcoin (US$ 480 neste momento). O número reflete uma aparente fixação com o dígito “8”, uma vez que é muito utilizado em todo o programa: nos montantes de resgate, na configuração do algoritmo de criptografia, nos nomes dos arquivos criados, etc. É por isso que escolhemos o nome Crypt888 quando notamos isso”.
Outra mudança, diz ele, é que as vítimas são ameaçadas com um prazo de cinco dias para pagar, e dois endereços de e-mail são fornecidos para que ela envie o comprovante de pagamento (e supostamente para receber a ferramenta de decodificação) embora não se mencione penalidades caso o prazo não seja cumprido.
Finalmente, no texto os autores dão uma pista sobre a origem do ransomware usando uma frase que, traduzida, significa “Nós pertencemos aos Hackers Checos / Russos”. Com base na precisão do texto disponível e na qualidade do código, é difícil acreditar nessas alegações, pois ela contém muitos erros de digitação, palavras fora da ordem correta, estranhas misturas de texto com e sem sinais da língua Checa e outros erros. É mais provável que o texto tenha sido criado por tradução automática, como na versão italiana.
Próximo alvo – Brasil
“Descobrimos a última versão do Crypto888 em meados de outubro de 2016. Não é surpresa que ele venha com um novo papel de parede. Agora, as instruções são escritas em português e o ataque é segmentado para o Brasil. O valor de resgate é de 2000 reais (625 USD) – pela primeira vez sem um dígito 8. As instruções são mais detalhadas desta vez e eles ainda incluem um guia de como comprar bitcoins para pagar o resgate. O código interno também é muito semelhante aos anteriores, porém, mais uma vez os autores voltaram a ofuscar o código AutoIt, como na versão italiana. Podemos garantir às pessoas que nossa ferramenta gratuita de descriptografia vai funcionar mesmo para esta versão”, diz Kroustek.
“Suspeitamos que os autores do Crypt888 ainda estão produzindo novas versões de seu ransomware. Sua técnica contrasta com a de autores de outras famílias de ransomware porque eles se concentram principalmente em mudanças gráficas e preparação de histórias falsas, em vez de melhorar seu código. Continuamos a fazer monitoramento e a quaisquer novas variantes, se necessário adaptaremos nossa ferramenta de decodificação para garantir que as vítimas tenham meios de mitigar um ataque do Crypt888”, finaliza o pesquisador.
