Ransomware usa Roblox para vender a desencriptação de ficheiros
No passado já vimos diferentes formatos de ransomware a usarem abordagens diferentes para levarem a cabo as suas atividades. Mas usar a loja online do popular jogo Roblox é, possivelmente, algo novo.
Para quem desconhece, o Roblox é um popular jogo infantil, onde os mais pequenos podem criar os seus próprios mundos virtuais e diferentes jogos. Os mesmos podem ainda criar e monetizar itens através da Game Pass, através do “dinheiro virtual” dentro do jogo – que pode ser convertido em dinheiro real mais tarde.
No entanto, os investigadores do grupo MalwareHunterTeam revelaram recentemente ter descoberto um ransomware que usa uma técnica algo invulgar para com as vítimas. O ransomware é conhecido como “WannaFriendMe”, sendo basicamente uma variante que tenta imitar o mais reconhecido Ryuk, embora seja mais concretamente o Chaos Ransomware.
Desde Junho de 2021 que existem plataformas na dark web que permite criar versões personalizadas do ransomware Chaos, onde uma parte dos lucros obtidos pelos criminosos são distribuídos pelos criadores do ransomware.
O “WannaFriendMe” é uma variante desenvolvida desta forma. No entanto, a forma como encripta os conteúdos e, mais concretamente, como depois se pode proceder à desencriptação dos mesmos será a parte invulgar de todo o caso.
As vítimas do ransomware, invés de pagarem o resgate via criptomoedas, necessitam de comprar o desencriptador de ficheiros através da plataforma da Roblox Game Pass, usando o dinheiro virtual Robux.
O mesmo encontra-se disponível na plataforma por 1,499 Robux, tendo sido enviado por um utilizador sobre o nome de “iRazormind” a 5 de Junho.
No entanto, para quem seja vítima deste malware, existe alguns pontos a ter em consideração. Isto porque o ransomware Chaos é conhecido por não simplesmente encriptar os ficheiros das vítimas, mas destruir os mesmos. O ransomware encontra-se criado para apenas encriptar os ficheiros com menos de 2 MB, sendo que qualquer ficheiro com um tamanho superior é permanente danificado.
Ou seja, mesmo que as vítimas comprem o programa para desencriptar os ficheiros, apenas irão conseguir recuperar conteúdos com menos de 2 MB de tamanho total.