O ransomware aumenta a credibilidade ao ler os navegadores das vítimas

Ransomware é uma classe de aplicativos maliciosos projetados para extorquir dinheiro dos usuários, desativando funcionalidades importantes do sistema ou criptografando seus arquivos pessoais. Uma variação específica desse tipo de ameaça exibe mensagens disfarçadas de notificações das agências de aplicação da lei.

O idioma das mensagens e os nomes das agências usadas neles mudam dependendo da localização das vítimas, mas em quase todos os casos as vítimas são disse que seus computadores foram bloqueados porque acessaram ou baixaram conteúdo ilegal. A fim de recuperar o acesso aos seus computadores, os usuários são convidados a pagar uma multa.

[Leia mais: Como remover malware do seu PC Windows]

Uma nova variante de ransomware que emprega esse truque foi flagrada no fim de semana um analista de malware independente conhecido online como Kafeine. Apelidado de Kovter, esta versão se destaca porque usa informações coletadas do histórico do navegador da vítima para tornar a mensagem de fraude mais credível, disse Kafeine na sexta-feira em um post no blog.

Kovter exibe um falso aviso do Departamento de Justiça dos EUA., o Departamento de Segurança Interna dos EUA e o FBI, que afirma que o computador da vítima foi usado para baixar e distribuir conteúdo ilegal. A mensagem também lista o endereço IP do computador, seu nome de host e um site do qual o material ilegal foi supostamente baixado.

O malware verifica se algum dos sites já presentes no histórico do navegador do computador está presente em uma lista remota de sites pornográficos cujo conteúdo não é necessariamente ilegal e, se houver uma correspondência, será exibido na mensagem. Ao usar essa técnica e nomear um site que a vítima visitou como fonte para o alegado conteúdo ilegal, os autores do ransomware tentam aumentar a credibilidade de sua mensagem.

Se nenhuma correspondência for encontrada ao verificar o histórico do navegador em relação à lista remota, o malware vai usar apenas um site pornô aleatório na mensagem, disse Kafeine.

Novas táticas aumentam a ameaça

Os autores do ransomware da polícia estão constantemente tentando melhorar sua taxa de sucesso e isso é apenas o mais recente em uma longa série de truques que eles adicionaram. Algumas variantes estão realmente usando a webcam do computador, se houver uma, para tirar uma foto do usuário e incluí-la na mensagem para dar a impressão de que as autoridades estão registrando o usuário. Outra variante dá às vítimas um prazo de 48 horas para pagar a multa inventada antes de seu computador ser reformatado e seus dados serem destruídos.

O número médio de tentativas diárias de infecção com ransomware policial dobrou durante os primeiros meses de 2013, de acordo com Sergey Golovanov, um especialista em malware da equipe global de pesquisa e análise do fornecedor de antivírus da Kaspersky Lab. A distribuição desta ameaça foi a mais alta de todos os tempos durante fevereiro e março, disse ele na segunda-feira via e-mail

Segundo Golovanov, o mais importante para as vítimas de ransomware é não pagar dinheiro aos cibercriminosos. "O que você precisa fazer é ir para outro computador e começar a procurar uma solução, que você sempre será capaz de encontrar na Internet", disse ele. "Todas as empresas de antivírus publicam instruções gratuitas e utilitários para ajudar os usuários a desbloquear seus computadores."

"Na pior das hipóteses, se você se deparar com um bloqueador único, você sempre pode abordar os fóruns especializados de empresas de antivírus ou entrar em contato com a tecnologia apoio para aconselhamento especializado e soluções ", disse ele. "É claro que isso pode levar algum tempo, mas o principal é não pagar e financiar essa extorsão".