Um ransomware já conhecido pelos usuários, chamado agora de Knight, voltou a circular pela internet ao tentar se disfarçar de reclamação enviada pelo TripAdvisor. O objetivo deste vírus é bloquear informações e ele é capaz de fazer isso no Windows, ao criptografar todo o conteúdo do PC, exigindo pagamento em Bitcoin para liberar os arquivos.

O que você precisa saber:

O Knight é um ransomware que já foi chamado de Cyclops neste ano e funciona exatamente como esperado para este tipo de infecção: extorsão. Com ela o usuário tem o computador completamente bloqueado e os arquivos criptografados, impedindo qualquer uso até que os bandidos recebam alguma quantia em dinheiro para liberar o PC refém.

No caso do Knight, o siteBleepingComputer explica que ele consegue afetar o Windows, macOS e Linux ao se espalhar como uma comunicação feita pelo site TripAdvisor onde um anexo está presente em um e-mail. O arquivo infectado vem comprimido em um zip chamado TripAdvisorComplaint.zip, que podemos traduzir como “Reclamação no TripAdvisor”. Dentro dele um executável TripAdvisor Complaint – Possible Suspension.exe adiciona “Possível suspensão” ao final, para reforçar a possibilidade de abertura.

Vírus se disfarça de arquivo PDF também

Pesquisadores também encontraram o ransomware Knight utilizando um arquivo HTML fingindo ser um PDF com o mesmo TripAdvisor como isca. Uma vez aberto, o vírus sequestrador está em um botão dizendo “leia a reclamação” e ele consegue executar um comando para que um arquivo do Excel seja baixado, sendo este o responsável pelo problema.

O Office já é capaz de detectar, com base em sua própria solução de segurança, que o Excel tenta acessar um arquivo .xll, mas se o usuário liberar acesso, então o PC é bloqueado ao ter os arquivos criptografados, impedindo a leitura ou escrita.

Em todas as pastas do computador, o ransomware Knight deixa um arquivo de texto com acesso liberado e é lá onde ele exige o valor para resgate do PC. A quantia é de US$ 5 mil em Bitcoin, cerca de R$ 24,6 mil.