Os cibercriminosos tentam tirar o máximo proveito de tudo o que tem a aprovação do público, inclusive dos jogos mais populares. Normalmente, o malware finge ser a cópia pirata ou versão mobile de um jogo, especialmente quando a última versão ainda não foi lançada oficialmente.

Uma das últimas novidades é o Syrk, ransomware de criptografia que finge ser um pacote de cheats para o Fortnite -game que, em apenas dois anos, tem 250 milhões de usuários. O Syrk promete aos jogadores dois cheats: um aimbot (ferramenta para mirar automaticamente) e um WH (também conhecida como ESP, que descobre a localização de outros jogadores no jogo). Mas o que esse pacote realmente faz é criptografar os arquivos das vítimas e solicitar um resgate.

Como funciona o ransomware Syrk

De acordo com pesquisadores da Cyren, o Syrk é uma cópia intacta de um ransomware de código aberto. Uma vez executado, o software se conecta a um servidor de comando e controle e desativa os seguintes programas:

• Windows Defender
• UAC (sistema que solicita permissão do usuário para ações de administrador)
• Aplicativos de monitoramento de processo que podem ser usados ​​para detectar infecções, como o Gerenciador de Tarefas, o Monitor de Processo e o Process Hacker.

Para que o usuário não consiga se livrar da criptografia simplesmente reiniciando o computador, ele também se adiciona à lista de carregamento automático. Se uma memória USB estiver conectada ao computador, o Syrk também tentará infectá-la.

Em seguida, o malware começa a localizar e criptografar arquivos multimídia, documentos de texto, planilhas e apresentações e arquivos ZIP, RAR, Photoshop e Microsoft Visual Studio. A extensão .SYRK é adicionada ao arquivo infectado.

A tela mostra uma solicitação de resgate que não pode ser fechada.

Como recuperar seus arquivos gratuitamente

Temos boas notícias: embora o Syrk tenha penetrado em seu computador e criptografado seus documentos, você não precisa pagar pelo resgate. Sua versão atual armazena a chave necessária para descriptografar suas informações armazenadas no computador infectado em um arquivo chamado -pw+.txt ou +dp-.txt na pasta C:\Users\Default\AppData\Local\Microsoft\.

Para recuperar seus arquivos :

• Copie a senha.
• Na janela de solicitação de resgate, clique em Mostrar meu ID para abrir uma página que mostra seu ID e o convida a digitar a senha para descriptografar os arquivos.
• Cole a chave no campo apropriado e pressione Descriptografar meus arquivos.

O programa recuperará as fotos e os documentos criptografados, criando e executando dois arquivos .exe, que removerão os vestígios do malware.

Existe outra maneira de recuperar seus arquivos, embora seja mais complicada. A verdade é que o malware inclui um componente de descriptografia que recupera os documentos, desde que você consiga extraí-lo e executá-lo. No entanto, a infecção deve ser removida manualmente.