Trabalho sobre o ransonware Bitcrypt

1. Malware: Bitcrypt2
Carlos de Brito
Ciência da Computação - Centro Universitário Barão de Mauá

2. É considerado um ransomware que é um
tipo de malware, que cobra resgate, e trata-se
de uma nova versão do BitCrypt.
Ciência da Computação - Centro
Universitário Barão de Mauá

3. Os ransomware , geralmente são
detectados pelos antivírus com uma certa
facilidade pois costumam criptografar arquivos
grandes, mas alguns possuem opções que
escolhem inteligentemente quais pastas
criptografar ou permitem que o atacante faça
isso.
Ciência da Computação - Centro
Universitário Barão de Mauá

4. O BitCrypt2 criptografa arquivos de
diversas extensões na máquina afetada, além
de cobrar um resgate em Bitcoins e trazer um
suposto arquivo de ajuda em diversos idiomas,
inclusive português brasileiro.
Ciência da Computação - Centro
Universitário Barão de Mauá

5.  Para Fernando Mercês, um dos pesquisadores
que analisou a ameaça, esse é um dos
aspectos mais preocupantes, o que indica a
participação de criminosos locais no
desenvolvimento do malware e a adição dos
brasileiros no raio de ação do BitCrypt2.
Ciência da Computação - Centro
Universitário Barão de Mauá

6. A ameaça pode chegar por email, redes
P2P ou outras formas menores.
Quando instalado, o malware faz buscas
por arquivos de extensão PPT, PDF, DOC, JPG,
PHP, JS, MDB e outros de imagens, documentos
e banco de dados.
Ciência da Computação - Centro
Universitário Barão de Mauá

7. Ao encontrá-los, ele os criptografa com
uma chave única e aleatória RSA-1024 bits, e
os itens afetados são renomeados para receber
um “.bitcrypt2” no nome.
Ele desabilita o gerenciador de tarefas, o
editor de registros e o modo de segurança da
máquina.
Ciência da Computação - Centro
Universitário Barão de Mauá

8. É exibida uma mensagem, no plano de
fundo do computador, alertando sobre a
infecção.
O usuário vai notar a criação de um
arquivo de texto com instruções em nove
idiomas além do português brasileiro,
no qual é mencionado que a vítima deve visitar
o site dos criminosos e digitar o código da
ameaça em um campo específico.
Ciência da Computação - Centro
Universitário Barão de Mauá

9. O próximo passo é transferir um valor em
bitcoin (aproximadamente US$ 250 ou R$
587), em troca de uma chave para
descriptografar os arquivos infectados.
Ciência da Computação - Centro
Universitário Barão de Mauá

10. Bitcoin é uma criptomoeda que pode ser
transferido por um computador ou smartphone
sem recorrer a uma instituição financeira
intermediária.
O conceito foi introduzido em 2008, por
um programador com o pseudônimo de
Satoshi Nakamoto que o chamou de sistema
eletrônico de pagamento peer to peer.
Ciência da Computação - Centro
Universitário Barão de Mauá

11. A melhor forma de evitar a contaminação
é tendo um bom antivírus instalado na
máquina e não clicar em links suspeitos ou
instalar arquivos originários deles,
especialmente com extensões duplas
(“pdf.exe”, por exemplo).
Ciência da Computação - Centro
Universitário Barão de Mauá

12. Caso já tenha sido infectado, existe a
possibilidade de apenas remover o vírus
procurando pelos arquivos “BitCrypt.txt”,
“BitCrypt.bmp” e “bitcrypt.ccw”. Ao encontrá-
los, basta apagá-los permanentemente.
Ciência da Computação - Centro
Universitário Barão de Mauá

13. É recomendado o escaneamento com um
antivírus após realizar esses procedimentos.
Entretanto, os arquivos afetados não são
recuperados ao realizar esses passos – ou seja,
é necessário ter um backup de tudo que está
no disco rígido da máquina.
Ciência da Computação - Centro
Universitário Barão de Mauá

14. Trend Micro - http://blog.trendmicro.com/trendlabs-security-
intelligence/ransomware-and-bitcoin-theft-combine-in-bitcrypt/
Symantec - http://www.symantec.com/connect/forums/client-been-
infected-bitcrypt-v20-cryptovirus
Wikipédia - http://pt.wikipedia.org/wiki/Bitcoin
Ciência da Computação - Centro
Universitário Barão de Mauá