Praga impede uso do Chrome.
… e do Firefox.
Cibercriminosos brasileiros estão realizando um ataque de roubo de dados por meio de uma praga capaz de sequestrar os navegadores no computador da vítima, exibindo uma notificação de software pirata, forçando-a “comprar” uma suposta licença de Windows original por 19,90. Com os dados da compra, os criminosos clonam o cartão de crédito da vítima.
A praga foi enviada ao ARIS-LD por um usuário e ainda possui baixa taxa de detecção pelos programas antivírus. Uma vez instalada no sistema, ela impede o uso dos navegadores Chrome e Firefox, forçando dessa forma a vítima a comprar a suposta licença.
Caso a vítima clique em “Exibir detalhes do problema”, a praga irá exibir uma mensagem falsa de notificação de software pirata, oferecendo uma suposta licença original do Windows por R$ 19,90, dando a entender que o usuário só conseguirá usar os navegadores caso compre a licença:
Aviso da praga digital diz que usuário está usando uma cópia pirata do Windows.
A notificação é totalmente falsa. O intuito do golpe é apenas capturar os dados de cartão de crédito — essa é a única forma disponibilizada pela praga para “comprar” a suposta licença:
Usuário deve preencher dados do cartão de crédito em tela da praga digital brasileira. (Foto: Reprodução)
Após inserir as informações, a praga irá enviar os dados para o criminoso, exibindo a seguinte tela:
Depois de receber os dados, acesso é novamente liberado.
A praga coleta os dados e as envia através de requisição a um formulário hospedado em um provedor gratuito:
Detalhe do envio de dados do ransomware. (Foto: ARIS-LD)
Não é a primeira vez que uma praga brasileira atua como um ransomware, pedindo dinheiro para liberar recursos bloqueados por ele mesmo. Em 2009 a Linha Defensiva registrou o caso de um falso antivírus chamado Byte Clark, que para limpar o sistema de “erros”, forçava a vítima a comprar o software.
A ferramenta gratuita BankerFix removerá os arquivos criados por essa infecção a partir da próxima atualização.
É ransomware?
Tradicionalmente, um ransomware é uma praga digital que impede o usuário de utilizar algum recurso do computador ou mesmo bloqueia os dados da vítima, exigindo um pagamento para o “resgate”. No caso da praga digital brasileira, o pagamento não é necessário para “liberar” o sistema, porque o objetivo da praga é roubar os dados do cartão, que será mais tarde usado para outros fins.
Por esse motivo, o funcionamento da praga digital é um tanto incomum e pode não ser considerado um ransomware.
Linha Defensiva 
É como eu tenho dito: não há limite para a maldade!
CurtirCurtir
esta analise do envio de informação ‘e falsa o programa usa sql server para o envio… fiz a analize dele aqui. po G1 postando coisa falsa
CurtirCurtir
Rafael, esta análise é verdadeira sim, uma vez que não existe apenas uma versão deste programa malicioso. Existe versões que fazem POST e outras que utilizam banco de dados.
CurtirCurtir
quem fez este programa é o hacker notronsite ele usa sql server nos post… nao existe variantes nem nada q seja post por http
CurtirCurtir
um absurdo uma analise falsa em um site serio
CurtirCurtir
A variante que posta por SQL é diferente desta. Considere ser uma imitação de alguma outra pessoa antes de acusar alguém de alguma coisa.
Você acha mesmo que a Linha Defensiva iria decidir falsificar uma única informação (como o malware envia os dados), sendo que o resto da análise está correta? Ou seja, você sabe que o vírus existe, etc, que nada foi inventado… e aí por algum motivo iríamos inventar uma pequena informação, só para alguém vir aqui poder falar que é falso?
Se não tivéssemos encontrado evidências de como o malware envia as informações, não teríamos colocado no artigo.
CurtirCurtir
sou o dono da kl sei q estou falando…
se digo q a analise é falsa é porque eu sou o criador do fonte dela.
CurtirCurtir
Rafael,
Essa é a versão analisada pelo Guilherme:
http://www.crimelandia.com/2012/11/analise-de-um-ransomware-brasileiro/
A versão que analisamos aqui é diferente. Compare as screenshots.
CurtirCurtir
Acreditar em Windows por R$19,90…só rindo msm…kkkkkkkkk
CurtirCurtir
Acho que esta praga já estava em circulação há um bom tempo, eu enviei um “pacote” de malwares para a Sophos e vejam só a data dos arquivos, dia 26/10, são os mesmos arquivos da análise do Linha Defensiva e do Crimelândia.
http://www.sophos.com/en-us/threat-center/threat-analyses/viruses-and-spyware/Troj~DwnLdr-KIB/detailed-analysis.aspx
CurtirCurtir
O MD5 do que analisamos não consta da página da Sophos. Nosso arquivo era o Microsoft.exe, não o wgastart.exe. Mas não sabemos quando exatamente o golpe começou a circular. Pode não ser novo, mesmo, mas ainda é “diferente”.
CurtirCurtir
O ransoware brasileiro é muito fuleragi!!!
CurtirCurtir
tamanha inteligência desperdiçada.
CurtirCurtir
E é por isso que eu uso Ubuntu
CurtirCurtir