O que pode ser pior que um ransomware? Um falso ransomware que nunca teve a intenção de soltar seus arquivos depois do pagamento do resgate.
Pesquisadores de segurança da Cisco Talos identificaram um novo ataque batizado de Ranscam, que não encripta arquivo algum, apaga tudo e mesmo assim cobra para recuperar arquivos.
O princípio do ransomware clássico é encriptar os arquivos da vítima, de tal forma que ela perde o acesso, a menos que ela pague uma quantia para conseguir a chave de descriptografia. O sucesso e a popularidade desse tipo de ameaça estão na “confiança” de que o hacker irá cumprir o prometido, após o pagamento, mas outros fatores também estão em andamento na psicologia do ransomware.
A opinião dos especialistas é que as vítimas não devem pagar o resgate, para não alimentar essa indústria, porém muitas empresas e indivíduos preferem o caminho mais fácil para solucionar o seu problema.
Mas esse novo golpe é montado em cima da popularidade dos ransomwares com uma farta dose de maldade. O Ranscam não possui nenhum componente de encriptação em seu código e apenas finge encriptar os arquivos da vítima antes de bloquear o funcionamento do computador. O malware na verdade apaga permanentemente arquivos do disco rígido, incluindo componentes vitais para o funcionamento do sistema operacional.
O malware também apaga o Histórico de Arquivos do Windows e apaga entradas de registro para impedir a ativação do Modo de Segurança ou mesmo do Gerenciador de Tarefas. Após essas ações, o Ranscam exibe uma tela com um número de conta de bitcoin para a vítima realizar o pagamento do resgate. A tela também ameaça: qualquer tentativa de recuperar o computador, ou mesmo um clique no sistema, irão apagar um arquivo permanentemente. Em ambas as mensagens o malware está mentindo: o dano já foi feito e é irreversível.
Segundo a Cisco Talos, a única saída para o sistema voltar a funcionar é uma reinstalação total do sistema operacional. “Não existe mais honra entre ladrões”, proclama a empresa de segurança. “Ranscam simplesmente delete os arquivos da vítima e oferece mais um exemplo de porque agentes de ameaça nem sempre podem ser confiáveis para recuperar arquivos das vítimas, mesmo se as vítimas aceitem as exigências do autor do ransomware“.
