Os cibercriminosos tentam tirar o máximo proveito de tudo o que tem a aprovação do público, inclusive dos jogos mais populares. Normalmente, o malware finge ser a cópia pirata ou versão mobile de um jogo, especialmente quando a última versão ainda não foi lançada oficialmente.
Uma das últimas novidades é o Syrk, ransomware de criptografia que finge ser um pacote de cheats para o Fortnite -game que, em apenas dois anos, tem 250 milhões de usuários. O Syrk promete aos jogadores dois cheats: um aimbot (ferramenta para mirar automaticamente) e um WH (também conhecida como ESP, que descobre a localização de outros jogadores no jogo). Mas o que esse pacote realmente faz é criptografar os arquivos das vítimas e solicitar um resgate.
Como funciona o ransomware Syrk
De acordo com pesquisadores da Cyren, o Syrk é uma cópia intacta de um ransomware de código aberto. Uma vez executado, o software se conecta a um servidor de comando e controle e desativa os seguintes programas:
- Windows Defender
- UAC (sistema que solicita permissão do usuário para ações de administrador)
- Aplicativos de monitoramento de processo que podem ser usados para detectar infecções, como o Gerenciador de Tarefas, o Monitor de Processo e o Process Hacker.
Para que o usuário não consiga se livrar da criptografia simplesmente reiniciando o computador, ele também se adiciona à lista de carregamento automático. Se uma memória USB estiver conectada ao computador, o Syrk também tentará infectá-la.
Em seguida, o malware começa a localizar e criptografar arquivos multimídia, documentos de texto, planilhas e apresentações e arquivos ZIP, RAR, Photoshop e Microsoft Visual Studio. A extensão .SYRK é adicionada ao arquivo infectado.
A tela mostra uma solicitação de resgate que não pode ser fechada.
Como recuperar seus arquivos gratuitamente
Temos boas notícias: embora o Syrk tenha penetrado em seu computador e criptografado seus documentos, você não precisa pagar pelo resgate. Sua versão atual armazena a chave necessária para descriptografar suas informações armazenadas no computador infectado em um arquivo chamado -pw+.txt ou +dp-.txt na pasta C:\Users\Default\AppData\Local\Microsoft\.
Para recuperar seus arquivos :
- Copie a senha.
- Na janela de solicitação de resgate, clique em Mostrar meu ID para abrir uma página que mostra seu ID e o convida a digitar a senha para descriptografar os arquivos.
- Cole a chave no campo apropriado e pressione Descriptografar meus arquivos.
O programa recuperará as fotos e os documentos criptografados, criando e executando dois arquivos .exe, que removerão os vestígios do malware.
Existe outra maneira de recuperar seus arquivos, embora seja mais complicada. A verdade é que o malware inclui um componente de descriptografia que recupera os documentos, desde que você consiga extraí-lo e executá-lo. No entanto, a infecção deve ser removida manualmente.