“artigo retirado do AVG Official Blogs”

por TomK

 

Quando vimos a placa acima em uma pequena cidade,  em uma empresa de TI independente chamada The Computer Shop, em Carlisle, Pa (norte leste dos EUA para aqueles que precisam de uma ajuda geográfica!) Não pudemos resistir à tentação de entrar e ver de perto a recente onda do ” FBI  Ransomware”.

 

Conversamos com o Ken, empregado da loja, que disse que o surto de ransomware tinha começado em meados do verão aproximadamente na mesma hora que fizemos nossa análise no link acima.

 

Os técnicos da loja limparam o ransomware “FBI” de computadores de seis clientes por mês, disse ele.  Alguns clientes tiveram o bom senso de verificar com a loja antes de pagar a “multa” exigida pelos códigos maliciosos.

 

A loja de informática cobrava de 35 a 80 dólares para usar o antivírus e outros softwares de reparação para remover os códigos maliciosos, disse ele. Em algumas máquinas foram encontrados infecções com vários pedaços de códigos maliciosos e exigiram mais trabalho do que outras.

 

A erupção das infecções do ransomware “FBI” – muitas vezes baixados pelos usuários do kit Blackhole Exploit – seguiu uma onda de infecções de falsos antivírus que a loja viu no ano passado e no inverno, disse ele.

 

Se seis casos do ransomware “FBI” por mês parecem insignificantes, considere que esta é apenas uma das várias lojas de informática de reparação em uma cidade relativamente pequena de 20.000 pessoas.

 

Página do ransomware “FBI” projeta variações

 

As páginas do ransomware “FBI”, frequentemente fornecidas pelos operadores usando o kit Blackhole Exploit, continuam mudando ou mostrando uma variedade de modelos de fontes independentes.

 

Certamente há mais do que um operador por trás deles. O que é comum é o conceito de bloquear a máquina da vítima, exibindo uma página alegando ser o trabalho de uma agência judiciária ou uma agência de direitos digitais e exigindo o pagamento de uma “multa” por meio de um sistema de pagamento impossível de rastrear.

 

Os esquemas que o grupo de Pesquisa de Ameaças Web verificou foi o travamento do computador da vítima e a demanda de uma “taxa de liberação” (resgate) de $ 200 através do sistema impossível de rastrear Green Dot MoneyPak. Pagar resgate não resulta no restabelecimento da máquina.

 

Vimos esquemas semelhantes que exibem páginas ransomware que dizem ser do Departamento de Justiça dos EUA, da Polícia Metropolitana do Reino Unido, do GVU (Gesellschaft zur Verfolgung von Urheberrechtsverletzungen) na Alemanha e GEMA (Gesellschaft für musikalische Aufführungs- und mechanische Vervielfältigungsrechte) também na Alemanha.

 

O GVU é uma associação que tenta impor leis sobre violação de direitos autorais no cinema, na música e em software e GEMA é uma organização de direito de performance.

 

O malware por trás do ransomware verifica a localização da vítima e apresenta uma página que diz ser de uma força policial ou grupo apropriado.

 

Abaixo estão cinco modelos que estão atualmente circulando nos EUA.