Cryzip: Trojan que encripta arquivos e pede resgate

Numa mostra de que o perfil de quem escreve malware mudou, existe uma subclasse chamada de ransomware, traduzindo seria algo como resgateware. É um Trojan que ao infectar a máquina do usuário, busca por arquivos de documentos e imagens, encripta os arquivos com uma senha e renomeia com um nome nome_original_CRYZIP.jpg (por exemplo) e apaga os originais. Em cada pasta, é deixada uma mensagem em inglês onde se requisita um depósito de US$ 300,00 para o resgate dos dados, através de uma entre várias contas do website e-gold.com. Sim, é um sequestro de dados.

Ou seja, não estamos falando mais de um programador que quer ficar famoso ou um hacker mostrando sua habilidade. Estamos falando de bandidos, quadrilhas e crime organizado e isso é apenas o começo. Apesar dessa modalidade de software não ser exatamente nova, os artifícios estão se aprimorando. O uso de engenharia social e o fato dele não se difundir rapidamente, ajudaram o meliante ficar fora do radar das empresas de segurança.

No texto, escrito em inglês ruim, eles dizem que não adianta tentar quebrar a senha e que não adianta recorrer às autoridades e que fechar a conta para recebimento do resgate não adiantará nada para obter a senha de descriptografia. Mas a verdade é que a senha foi escondida dentro da própria DLL do programa, usando uma técnica criptográfica chamada XOR, que graduandos de engenharia e de computação devem reconhecer de imediato.
A senha decodificada:
C:\Program Files\Microsoft Visual Studio\VC98.

Em caso de suspeita, verifique se existem arquivos com esses nomes: vcmauth.dll, zippo.dll, ZippoCrypt e _zippo_crypter_v1.0_ .

A análise completa e original, você encontra no LURHQ.

Fonte: eWeek