Descoberto em junho de 2016 pelos pesquisadores do Threat Lab da Avast, o ransomware Crypt888, também conhecido como MicroCop e Mircop, está atacando PCs de usuários brasileiros. Depois de ter-se apresentado com telas de resgate em italiano e checo, o malware agora mostra tela em português e indicações sobre como as vítimas podem fazer o pagamento adquirindo bitcoins pelo site Mercado Bitcoin.
Segundo o pesquisador Jakub Kroustek, a evolução do Crypto888 foi muito peculiar: “Enquanto monitoramos essa ameaça, descobrimos que o papel de parede (wallpaper) contendo instruções de resgate é a única parte do Crypto888 que já mudou. Esses papéis de parede são usados para apresentar as instruções de resgate em uma variedade de línguas, com base no alvo de uma campanha em andamento. Já vimos imagens feitas sob medida para vítimas na Itália e República Checa, e pela primeira vez aparitcoinece uma feita para o Brasil”, conta.
Kroustek aponta que ele e sua equipe descobriram a última versão do Crypto888 em meados de outubro de 2016. Para o ataque nacional, o valor do resgate é de R$ 2 mil. As instruções são mais detalhadas desta vez e eles ainda incluem um guia de como comprar bitcoins para pagar o resgate. O código interno também é muito semelhante aos anteriores, porém, mais uma vez os autores voltaram a ofuscar o código AutoIt, como na versão italiana. Podemos garantir às pessoas que nossa ferramenta gratuita de descriptografia vai funcionar mesmo para esta versão”, diz Kroustek.
“Suspeitamos que os autores do Crypt888 ainda estão produzindo novas versões de seu ransomware”, observa. Segundo ele, sua técnica contrasta com a de autores de outras famílias de ransomware porque eles se concentram principalmente em mudanças gráficas e preparação de histórias falsas, em vez de melhorar seu código. “Continuamos a fazer monitoramento e a quaisquer novas variantes, se necessário adaptaremos nossa ferramenta de decodificação para garantir que as vítimas tenham meios de mitigar um ataque do Crypt888”, finaliza.
