Os responsáveis pelo vírus ExPetr, originalmente identificado como "Petya", liberaram um comunicado afirmando que podem fornecer a chave que decodifica todos os arquivos criptografados pelo vírus. O aviso chamou atenção pelo valor do resgate: 100 bitcoins, o equivalente a pelo menos R$ 850 mil (R$ 888 mil, na cotação do "Mercado Bitcoin"). A chave, porém, não funciona em computadores que tiveram o setor de inicialização regravado.

Especialistas em segurança acreditam que o pedido de resgate foi realmente deixado pelos criadores do vírus. A mensagem traz uma assinatura digital que parece ter sido criada com a mesma chave secreta necessária para recuperar os arquivos. Até o momento, porém, não foi fornecida nenhuma prova de que os autores do vírus são mesmo capazes de devolver os arquivos ao seu estado original.

O vírus ExPetr fornece às vítimas um e-mail de contato para falar com os criadores do vírus e negociar a obtenção da chave, que seria fornecida por US$ 300 (cerca de mil reais). O endereço de e-mail, porém, foi cancelado pelo provedor onde foi registrado, deixando as vítimas sem meio de contato e sem poder recuperar os arquivos.

Especialistas em segurança da fabricante de antivírus russa Kaspersky Lab acreditam que o ExPetr não era um vírus de resgate, mas sim um "wiper". Um wiper é outro tipo de vírus cujo objetivo não é o retorno financeiro do resgate, mas sim a destruição da infraestrutura tecnológica do alvo. Vírus do tipo Wiper foram usados contra instituições na Coreia do Sul e contra a Sony.





Setores de inicialização criptografados pelo ExPetr ainda não podem ser recuperados. (Foto: Reprodução - Kaspersky Lab)

Cortina de fumaça
O pedido de resgate dos criminosos, se verdadeiro, derrubaria a tese de que o ExPetr é um Wiper . Mas o anúncio pode ser apenas mais uma cortina de fumaça.

Alguns especialistas apontam que o ExPetr adotou comportamentos semelhantes ao de um vírus de resgate para controlar a percepção do ataque, fazendo com que ele se assemelhe a um vírus comum usado por criminosos. Isso seria interessante no caso de o ExPetr ter sido desenvolvido com o patrocínio de um governo por razões geopolíticas. O disfarce reduziria as suspeitas de que o vírus não se trata de um crime comum.

Análises da praga digital apontam que não é possível recuperar os setores de inicialização danificados pelo vírus. Nem mesmo a nova chave prometida pelos criadores do vírus seria capaz disso. Segundo uma análise da Microsoft, o setor de inicialização não é regravado caso o computador esteja usando um antivírus da Symantec ou da Kaspersky Lab. Isso não se deve a uma proteção oferecida por esses antivírus, mas sim a uma exceção programada no próprio vírus por razões desconhecidas.

O alto valor do resgate poderia ser mais um indício de que o pedido não é sério, já que os responsáveis não teriam expectativa de que alguém fosse pagar. Uma tática parecida foi usada pelo misterioso grupo "Shadow Brokers", que vem vazando programas e documentos da Agência de Segurança Nacional dos Estados Unidos (NSA).

Os Shadow Brokers propuseram um leilão no ano passado para vender o segundo pacote de vazamentos (o primeiro foi liberado gratuitamente). O valor solicitado era absurdo (um milhão de bitcoins) e foi um fracasso.

Este ano, os Shadow Brokers liberaram gratuitamente a senha do pacote leiloado. O conteúdo do pacote comprovou a tese de alguns especialistas, de que o conteúdo liberado gratuitamente era muito superior ao que estava presente no pacote do leilão. Isso comprovou que os Shadow Brokers não tinham interesse de realmente comercializar as ferramentas.

Embora muito superior aos valores normalmente cobrados por vírus de resgate, os R$ 850 mil não estão fora da realidade desde que um provedor coreano decidiu desembolsar R$ 3,3 milhões para ter seus dados de volta. 


Dúvidas sobre segurança, hackers e vírus? Envie para g1seguranca@globomail.com