Quem usa sistemas proprietários como o Windows tem mais uma razão para se preocupar. Pesquisadores de segurança identificaram o que parece ser uma versão do ransomware Cryptolocker, que se dissipa por meio de drive USB.

Para quem não sabe, um ramsonware é um tipo de vírus que trava o PC e pede um “resgate” para liberá-lo novamente.

De acordo com as empresas de segurança Trend Micro e ESET, a variante Crilock.A recentemente encontrada (que foi autointitula “Cryptolocker 2.0″) se apresenta como um atualizador para Adobe Photoshop e Microsoft Office em sites frequentados por usuários que compartilham arquivos por meio de uma conexão P2P (peer-to-peer).

A arquitetura de comando e controle também é nova, deixando de lado o algoritmo de geração de domínio (DGA) em favor de URLs hardcoded menos sofisticadas.

Essas estranhezas convenceram a Trade Micro de que o Crilock.A é mais uma obra de imitadores que algo feito pelo grupo que originalmente criou a ameaça.

Ter como foco usuários que compartilham arquivos é uma escolha bem estranha porque, enquanto aumentam as chances de o malware ser de fato baixado, a lista de vítimas em potencial ainda é menor que a da versão “oficial” do vírus.

Um ponto semelhante pode ser o abandono do DGA pelo hardcode, que é bem mais fácil de ser bloqueado. A empresa de segurança tem que simplesmente fazer uma engenharia reversa da lista e o malware se torna inútil.

À espreita

No entanto, há vantagens nessas mudanças. Usar harcode é mais simples, enquanto que disseminar o vírus a partir de sites de P2P é uma forma de permanecer menos visível do que seria quando se usa uma enxurrada de e-mails de phishing.

O mais interessante e, talvez, mais revelador de tudo é que o Crilock.A adiciona a capacidade de infectar drives removíveis. A técnica é antiga e infectar unidades pode retardar a sua disseminação, mas garante um grau de longevidade.

Por outro lado, enquanto o vírus pode se esconder em unidades durante os próximos anos, no momento em que ele é ativado provavelmente será detectado pela maioria dos programas de segurança.

Apenas para ficar ainda mais interessante, a variante acrescenta outras habilidades, incluindo o lançamento de um componente para lançar ataques DDoS, roubar carteiras Bitcoin, e até mesmo lançar uma ferramenta de mineração de Bitcoin.

A ESET publicou uma lista completa das diferenças entre o Cryptolocker e o Crilock.A/Cryptolocker 2.0 em seu site.

Na mesma semana em que o Cryptolocker 2.0 foi detectado (antes do Natal), a Dell SecureWorks publicou a sua estimativa de que a versão original do programa tinha infectado cerca de 200 mil a 300 mil PCs em 100 dias. Cerca de 0,4% dessas vítimas provavelmente pagou o resgate exigido de cerca de 300 dólares em Bitcoins ou via MoneyPak, um serviço de pagamento online.

Com informações de IDGNow.