Originalmente publicado em 2017-07-19 10:00 no blog Patinete a vela.

Os vírus Wanna Decryptor (popularmente conhecido com Wanna Cry) e Petya são dois exemplares de ransomware que ficaram populares na primeira metade de 2017.

Os ransomware são vírus. São programas maliciosos que, uma vez instalados, infectam seu computador e buscam se propagar para outros computadores acessíveis através de sua rede ou lista de contatos. Eles possuem a característica particular de “sequestrar” seu disco rígido: eles criptografam todas as suas informações e te pedem um resgate em dinheiro para descriptografarem. Se você não aceitar pagar já era; perdeu plaboy; bora formatar o hd e começar tudo de novo.

Uma forma popular de receber dinheiro adotada pelos criadores destes ransomware é através da transferência de bitcoins, a criptomoeda da moda que nestes dias está na boca de todo mundo. É muito fácil de fazer uma transferência: basta capturar o código da carteira de destino e, usando sua própria carteira digital, transferir o valor desejado.

As carteiras de bitcoin são anônimas e, com isso, praticamente irrastreáveis. É impossível deduzir a quem uma conta de bitcoin pertence. Por outro lado, todas as transações realizadas no bitcoin são públicas: basta saber o número da conta que você quer rastrear.

Ficou curioso para saber quanto dinheiro os criadores do Wanna Decryptor ganharam com essa brincadeirinha?

É bem fácil! Só precisamos obter os números das carteiras em que os hackers pediam para depositar os resgates e usar um site para monitoramento de transações.

De onde tiramos os números das carteiras?

Das mensagens ameaçadoras que os computadores infectados apresentavam para seus donos.

Por exemplo:

Ransomware

Fonte: Quartz

Está vendo essa palavra estranha, composta por números e letras, próximo ao canto inferior direito da janela? Esse é o número de uma carteira de bitcoin.

O vírus Wanna Cry vinha com três números de carteiras diferentes:

  1. 12t9YDPgwueZ9NyMgw519p7AA8isjr6SMw extrato
  2. 13AM4VW2dhxYgXeQepoHkHSQuy6NgaEb94 extrato
  3. 115p7UMMngoj1pMvkpHijcRdfJNXj6LrLn extrato

Se você clicar no link ao lado de cada carteira poderá ver toda a sequência de transações que estas sofreram, entre depósitos e transferências.

Estas três carteiras são contas de destino; receberam depósitos mas os bitcoins continuam lá.

Na data de publicação deste artigo (19 de julho de 2017) os saldos destas carteiras estão na tabela abaixo.

  Depósitos BTC R$
  111 17,55523037 125.866,22
  128 19,74510304 141.567,02
  112 14,41067602 103.320,63
Total 351 51,71100943 370.753,87

Podemos ver que 351 pessoas cederam à chantagem dos sequestradores. Não temos como saber se estes acabaram devolvendo os dados destas pessoas. Só estas 351 pessoas contribuíram para deixar os hackers 370 mil reais mais ricos.

De um universo de 400 mil computadores infectados, 351 parecem uma mixaria. Os restantes, enfim, tiveram que aprender a conviver com a perda de todos seus dados.

O vírus Petya é mais curioso. A mensagem de resgate dele está abaixo.

Ransomware

Fonte: McAffee

Este vírus afetou principalmente a Ucrânia em junho deste ano. Possui apenas uma carteira:

  • 1Mz7153HMuxXTuR2R1t78mGSdzaAtNbBWX extrato

Esta carteira chegou a receber 58 transações totalizando 4.03551025 BTC (R$ 28.901,07). Não é muuuuito. Mas o interessante é que o saldo atual da carteira está zerado.

Mas como tudo é público no bitcoin (apesar de anônimo), você pode ir clicando nas transações dessa carteira para saber para onde esses bitcoins foram.

Os bitcoins passaram pelas seguintes carteiras:

  1. 1AAM1195tERS5KJ8ELZhyDMaGYbe829Zeb extrato
  2. 1JfcqTqCni5kGrut8apCSqPkm48vSruSA extrato

O saldo da última carteira é de 250 BTC! Em reais, R$ 1.790.422,55!

É fascinante e ao mesmo assustador ter esta pequena janela que nos permite enxergar um pouco desse mundo obscuro do ciber terrorismo. Quem será o dono destas carteiras? Qual é sua intenção? Esta carteira deve ser uma de muitas, que devem receber o acúmulo de pequenas (e não tão pequenas) transações decorrentes de todo tipo de crime e sacanagem ao redor do mundo.

E está tudo aí… Aberto para quem quer ver.

Isso me faz pensar no risco que temos em nosso futuro.

Vivemos hoje no Brasil um momento histórico em que políticos corruptos estão sendo tirados de circulação pela Operação Lava-Jato. Mas são políticos das antigas, pegos com as calças abaixadas porque sempre precisaram depender de incontáveis doleiros e laranjas para fazer as transferências das propinas de uns para os outros.

Mas enquanto esta velha geração é encaminhada para a prisão ou removida da vida pública, sobra a nova geração. Uma nova geração de políticos corruptos que provavelmente já está antenada nas inovações tecnológicas. Para esta geração pagar uma propina será tão simples quanto capturar o código da carteira do corrupto com seu aplicativo de bitcoin e transferir o valor. E será uma operação completamente anônima. Irrastreável. E escancarada, disponível para qualquer um que souber onde procurar ver, imaginar quais são os propósitos nefastos por trás e ficar com vontade de chorar porque não haverá polícia ou receita federal capaz de investigar.