Descoberta acidental interrompeu uma maior viralização do WannaCrypt

0

Por Chris Baraniuk, da BBC Tecnologia

Um pesquisador na área de segurança da informação disse à BBC como ele acidentalmente interrompeu a contaminação de centenas de organizações no Reino Unido e ao redor do mundo na sexta-feira.

Foi uma aparente campanha de ransomware – em que computadores são infectados com um vírus que codifica e “sequestra” os arquivos. Os invasores, então, pedem um “resgate”: ameaçam destruir (ou tornar públicos) os arquivos caso não recebam dinheiro.

Conhecido pelo apelido com que opera online, MalwareTech, o pesquisador de 22 anos estava analisando o código que fazia funcionar o vírus Wanna Crypt, responsável pelo ataque.

O pesquisador percebeu que o programa tentava contactar um endereço de internet incomum (iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com), que não estava registrado.

MalwareTech, então, gastou o equivalente a R$ 35 reais para “comprar” o endereço. Com isso ele, conseguiria analisar o comportamento do vírus.

Porém, depois ele percebeu que a operação de registro interrompeu o processo do programa de se propagar.

“Foi algo acidental. Passei a noite inteira investigando”.

O que aconteceu?

Originalmente, especulou-se que quem está por trás do vírus teria incluído um “botão de autodestruição”. Mas Malware acredita que se tratava de um mecanismo para saber se o programa estava sendo monitorado por pesquisadores da área de segurança da informação no que se chama de “máquina virtual” – uma espécie de ambiente de quarentena para vírus.

Um computador real não poderia acessar iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com, mas uma “máquina virtual” conseguiria.

“Isso fez com que o programa parasse para evitar análises externas”, disse MalwareTech.

“Quando registrei o site, isso fez com que todas as ‘infecções’ ao redor do mundo se desativassem por acreditar que estavam em uma máquina virtual. Sem querer, impedimos a proliferação do vírus”.

O vírus foi derrotado?

Isso não significa que a ameaça foi afastada: arquivos “danificados” pelo vírus ainda podem ser usados para chantagear seus donos.

E analistas de segurança alertam que novas variações do programa que ignorem o “botão” vão aparecer.

“Conseguimos parar uma versão, mas não seremos capazes de parar as próximas. Há muito dinheiro envolvido (no cybercrime) e não é preciso muito esforço para eles (os programadores) mudarem o código e começarem tudo de novo”.

Deixe uma resposta

Please enter your comment!
Please enter your name here