Sequestro de dados com Ransomware

O que é Ransomware?

Ransom malware, ou ransomware, é um tipo de malware que invade o sistema de arquivos do usuário e criptografa todos esses arquivos para que se tornem completamente inacessíveis ao usuário para depois exigirem um resgate (ransom) em troca da chave (ou chaves) para recuperar esses dados. Normalmente esse resgate é cobrado em Bitcoin, que é uma criptomoeda, praticamente impossível de ser rastreada, o que torna o problema ainda mais complicado.

Usuários infectados com ransomware geralmente vão se deparar com uma tela como essa:

Como um Ransomware pode infectar meu dispositivo?

Primeiramente precisamos entender como nos tornamos vulneráveis à ransomware antes mesmo de sermos infectados: As principais vítimas desse malware geralmente usa um sistema operacional desatualizado ou até mesmo uma versão antiga do sistema, como o Windows XP, por exemplo, e existem diversas brechas nesses sistemas que as empresas responsáveis atualizam constantemente para cobrir essas brechas de segurança, e como os hackers que criam esses vírus também atualizam seus malwares para se aproveitarem de novas brechas descobertas, um sistema desatualizado mal consegue detectar esses vírus e ainda correm o risco de infectar outros dispositivos.

Assumindo que o usuário utiliza um sistema comum, atualizado ou não, e sabendo que o vírus não vai aparecer do nada, como somos infectados? Os responsáveis por esses golpes de ransomware geralmente utilizam um método chamado phishing, que através de emails farsantes ou até mesmo sites clonados e links falsos, fazem com que o próprio usuário instale esse ransomware em sua máquina, se passando por algum software ou arquivo anexado, pedindo para que se instale no sistema.

Tipos de Ransomware

Scareware

Apesar do nome ser assustador (scary), esse tipo de ransomware não demonstra risco algum aos seus arquivos. Geralmente ele se disfarça como algum scanner de problemas no computador e pede para que você pague para que corrija esses problemas chamando sua atenção com pop-ups bem alarmantes dizendo que seu sistema não está seguro mas, na verdade, é somente um alarme falso para assustar (scare) e tirar dinheiro da vítima.

Se você já comprou algum anti-vírus ou anti-malware e está instalado em sua máquina, ele nunca irá pedir para que você pague para remover os vírus do seu sistema, pois você já pagou pelo software.

Bloqueadores de Tela

Como o nome já sugere, os Bloqueadores de Tela (Lock Screen Ransomware) bloqueiam completamente o acesso do usuário ao seu sistema com uma imagem bem alarmante, geralmente se passando por uma violação de leis com logos do FBI ou NSA por exemplo e, como qualquer ransomware, pede um pagamento (em forma de multa nesse caso) para que possa acessar sua máquina novamente.

Os órgãos de justiça nunca irão utilizar esses meios para aplicar as suas leis em caso de suspeita de atividade criminosa. Se suspeitassem de pirataria, pornografia infantil ou outras atividades ilícitas, iriam utilizar dos meios apropriados.

Ransomware de Criptografia

O tipo mais popular atualmente por ser o que causa maior prejuízo para suas vítimas criptografando todos os dados da máquina infectada e tornando-os inacessíveis sem a chave de descriptografia. E essa criptografia é praticamente impossível de ser quebrada utilizando computadores comuns, o que faz com que a vítima desse ransomware fique de mãos atadas se não tiver um backup dos arquivos afetados.

Para ressaltar a gravidade desse ransomware, imagine um cenário em que uma empresa, um banco ou até mesmo um hospital fosse infectado por um vírus desse e o criminoso responsável cobrasse milhões de dólares pelo resgate (ransom) dos arquivos da vítima. Perigoso, não é?

O ransomware de criptografia mais popular atualmente é o WannaCry, que utilizou falhas de segurança no Windows descobertas pela NSA e ao invés de serem reportadas diretamente à Microsoft, eles utilizaram essas falhas para desenvolver ferramentas de espionagem chamadas de EternalBlue. Algum tempo depois essa ferramenta foi implementada em ciberataques que utilizavam o ransomware WannaCry e o malware Adylkuzz. Depois, as mesmas falhas de segurança foram reportadas pelo grupo The Shadow Brokers. Você pode ver mais detalhes desse caso aqui.

Vale ressaltar que os mais recentes ransomwares de criptografia se espalham para todos os dispositivos conectados tanto por USB quanto os dispositivos que estiverem na mesma rede, então muito cuidado!

Ataques mais recentes de Ransomware

Europol: Ransomware permanece a principal ameaça no relatório IOCTA

Ransomware continua a invadir cidades e empresas

Trojans, ransomware dominam o cenário de educação sobre ameaças em 2018–2019

Ransomware em Ação

Aqui podemos ver um exemplo do que acontece quando um ransomware infecta seu sistema. Nesse vídeo é apresentado um Windows 10 sendo infectado por diversos ransomwares simultaneamente. O autor do vídeo faz testes com todas as defesas do Windows ativas e também com todas as defesas desativadas.

Esse teste foi feito em uma máquina virtual. Nunca teste arquivos suspeitos ou software malicioso em um computador pessoal ou de empresa.

Como me prevenir contra Ransomware?

Existem diversas formas de evitar ser atingido por um golpe de ransomware. A maioria envolve os próprios cuidados do usuário com o que ele adiciona em seu sistema.

As maiores precauções são:

• Mantenha seu sistema sempre atualizado e com conexão à internet para que possam ser feitas verificações em tempo real no sistema da empresa responsável. Não deixe as atualizações para depois, pois você corre o risco de os hackers atualizarem seus vírus antes mesmo de você atualizar seu sistema.
• Tome cuidado com emails suspeitos ou sites clonados. Verifique sempre o remetente ou o endereço da página que você está visitando. Se houver algo suspeito em algum site, procure digitar o endereço manualmente.
• Procure utilizar sempre software original, pois esse tipo de vírus pode ser instalado por meio de outra instalação, utilizando as permissões concebidas para se instalar juntamente ao software instalado. Veja bem se o nome do arquivo está correto e se o tamanho do instalador faz sentido. Na dúvida, contate o responsável pelo software no site oficial para confirmar sua autenticidade.
• Faça backup de seus arquivos regularmente. Assim, caso seja afetado por um ransomware, você pode simplesmente reinstalar seu sistema e recuperar seus arquivos pelo backup.

Conclusão

Ransomware é uma forma muito sofisticada de atividade criminosa que, atualmente, vêm atingindo diversos países e causando bastante comoção e prejuízo em grandes empresas.

Com isso espero que as pessoas se previnam contra esse tipo de malware e tenham uma experiência mais segura online.

Referências

• Anatomia de um ataque de Ransomware
• O que é um Ransomware? | Binance Academy
• O que é Ransomware e como remover | Avast
• Ransomware, o que é e como removê-lo | Malwarebytes
• Veja o ransomware WannaCry em ação | Symmetry