Novo ransomware para o MacOS não descriptografa os arquivos, mesmo pagando o “resgate”

Um estudo da Kasperksy Lab diz que 20% das vítimas que foram alvo de ataques por ransomware e pagaram o resgate não obtiveram os seus arquivos de volta. O novo ransomware intitulado Patcher, que afeta diretamente os usuários do MacOS comprovam essa tese, mesmo pagando o tal resgate em bitcoins exigido pelos cibercriminosos os arquivos não são restituidos.

O Patcher foi descoberto pelos pesquisadores da ESET, que provavelmente você conhece pelo antivírus Nod32. O nome da ameaça diz praticamente tudo sobre a sua forma de ação: o Patcher se passa por um patch, mais precisamente um crack, para programas pagos como o Adobe Premiere Pro e Microsoft Office. Aquela velha tática de usar um crack para validar um programa que é pago. A ameaça que está presente em sites de torrents, segue a mesma linha dos arquivos que prometem oferecer o software registrado: um arquivo zipado que acompanha o software e o tal crack.

Após o usuário clicar sobre a tela correspondente ao software, uma janela transparente é iniciada com um único botão ao centro para dar início ao que seria o processo de instalação, mas que na verdade é o comando para que o processo de criptografia dos arquivos da máquina seja realizado. Para o desbloqueio é necessária uma senha de 25 caracteres. Um arquivo txt também é gerado com as instruções que o usuário tem que seguir para que consiga seus arquivos de volta:

São exatamente 4 passos:

1) Aprenda a comprar bitcoins

2) envite 0,25 BTC para uma wallet mostrada no arquivo

3) Enviar o endereço de IP para um e-mail específico

4) Manter o computador ligado e conectado à internet pelas próximas 24 horas após o pagamento para que os arquivos sejam desbloqueados. A mensagem também ressalta que a chave para descriptografar os arquivos não ficarão armazenadas no servidor por muito tempo, o prazo máximo é de 1 semana.

Mas é aí que mora o maior problema. A ESET diz que mesmo efetuando o pagamento os arquivos não serão descriptografados, já que não há nenhuma comunicação com um servidor on-line, e como a senha gerada pede 25 caracteres, mesmo por técnicas de descriptografia, como a força bruta, o usuário não conseguirá recuperar os arquivos

A companhia de segurança ainda ressalta que a ameaça está repleta de errados, que deixam claro que o responsável não conhece muito sobre como a grande maioria dos ataques por ransomware funcionam.

Um dos erros é em relação a chave de criptografia, é utilizada a mesma para todos os arquivos. Esse método é considerado uma prática ruim entre os criadores de ransomware. Modelos de criptografia em camadas são os mais aceitos, por serem mais difíceis de quebrar.

A ESET ressalta que realizar o download de softwares piratas sempre foi um problema, e agora com malwares como o ransomware, o usuário corre ainda mais riscos