Ransomware: guia básico e perguntas frequentes

Ransomware: guia básico e perguntas frequentes

A ESET responde algumas perguntas básicas e relembra alguns ataques de ransomware para que você possa entender um pouco mais sobre o assunto.

A ESET responde algumas perguntas básicas e relembra alguns ataques de ransomware para que você possa entender um pouco mais sobre o assunto.

Tendo em conta os casos recentes de sequestros de arquivos que ocorreram e observando que se trata de uma nova tendência, a ESET decidiu responder algumas perguntas básicas e relembrar alguns ataques para que você possa entender um pouco mais sobre o que é um ransomware.

O que é um ransomware?

Ransomware (sequestro de informações) é um termo genérico utilizado para se referir a todo tipo de software malicioso que solicita ao usuário o pagamento de um resgate.

O que pode levar um usuário a pagar o resgate?

Isso ocorre porque o malware fez algo malicioso no equipamento e provavelmente com os dados do usuário. Por exemplo, pode criptografar os documentos e exigir que o usuário pague um resgate para desbloquear o acesso. Este tipo de ransomware se chama filecoder (codificador de arquivos). O mais famoso é o Cryptolocker e as soluções de segurança da ESET detectam muitas versões como Win32/Filecoder.

Como meu computador pode ser infectado por um ransomware como o cryptolocker?

Um típico método de infecção ocorre por meio da abertura de um arquivo anexo a um email não solicitado ou quando um usuário clique em um link que afirma ser de um banco ou empresas conhecidas. Também encontramos versões do Cryptolocker que são distribuidas por meio de redes peer-to-peer (P2P) para compartilhar arquivos, se fazendo passar por chaves de ativação para programas populares de software como Adobe Photoshop e Microsoft Office.

Se o computador é infectado, o cryptolocker busca uma ampla variedade de tipos de arquivos para criptografar e, uma vez que conclui o trabalho sujo, mostra uma mensagem na qual exige que a vítima realize uma transferência eletrônica em dinheiro para descriptografar os arquivos, como pode ser visto na imagem abaixo:

Imagem2

Em alguns casos, a tela de bloqueio também inclui a transmissão ao vivo do que a webcam do computador da vítima está vendo no momento, como mostra a seguinte captura:

Imagem3

É inquietante ver inesperadamente a si mesmo sentando frente ao computador. Além disso, essa situação pode fazer com que os usuários com menos conhecimento técnico possam realmente acreditar que estão sendo observados pelas autoridades.

Também escutei falar do scareware. O que é isso?

O scareware (programas intimidatórios) é um software que tenta assustar e iludir o usuário, na tentativa de que o mesmo realize uma determinada ação. Normalmente se passa por um produto antivírus que mostra uma advertência sobre problemas de segurança presentes no computador ou smartphone com o intuito de enganar o usuário para que pague aos golpistas ou que continue baixando mais códigos perigosos na rede.

Em alguns casos, o antivírus falso se apresenta com o nome de uma empresa de segurança real com o objetivo de que aumente a quantidade de vítimas que caem no golpe e tomam uma má decisão. Observe a seguinte imagem:

imagem4

Da mesma forma que o ransomware, o scareware pode estar projetado para qualquer sistema operacional. Ironicamente, algumas instâncias do tipo antivírus falso têm uma interface de usuário muito mais impactante que de produto legítimo que estão imitando.

No caso de alguns tipos de scareware com desenvolvimento mais sinistro, quando não possuem o objetivo de assustar e fazer com que a vítima compre de forma insensata, recorrem a táticas de ransomware e exigem o pagamento de uma quantia por meio de uma ameaça mais evidente.

Que acontece se o meu computador for infectado com ransomware e eu não queira pagar o resgate?

Na maioria dos ataques, existe uma data limite para realizar o pagamento: caso não seja efetuado no tempo determinado, o usuário poderá perder o acesso aos arquivos de forma definitiva.

O ransomware de criptografia de arquivos é o único tipo?

Não, também existe o ransomware de tela de bloqueio, que restringe o computador e impede a utilização do equipamento até que a vítima pague o resgate. Normalmente, esse malware usa truques psicológicos com o intuito de que o pagamento seja realizado o mais rápido possível.

Por exemplo, às vezes, a mensagem da tela de bloqueio se apresenta como um aviso da polícia no qual indicam que as autoridades solicitam o pagamento de uma multa porque encontraram em seu computador imagens de abuso a menores ou de zoofilia que servem como evidência de que o usuário acessou sites ilegais ou instalou software pirata.

reveton1

As vítimas acabam pagando o resgate?

Sim. Em muitos casos pagam o resgate. Imagina o que aconteceria se você não tivesse uma cópia de segurança (backup) com a qual pudesse restaurar seus arquivos confidenciais ou corporativos? Provavelmente acabaria pensando que vale à pena gastar alguns dólares para recuperar o acesso aos dados.

Os usuários corporativos talvez não se preocupam muito com o malware da tela de bloqueio, pois normalmente possuem cópias de segurança. No entanto, é fácil imaginar os usuários domésticos, intimidados pelas ameaças falsas da polícia ou a menção de imagens de abuso a menores, pagando o resgate ao invés de levar a máquina para uma loja local de reparação de computadores.

Depois que o pagamento é realizado, os dados são descriptografados?

Sim, em geral é restaurado o acesso para todos os dados. Se pensarmos nisso, podemos concluir que os cibercriminosos possuem um bom negócio. Apesar que o pagamento do resgate não significa que você vai estar fora de perigo. Os cibercriminosos podem deixar o malware na máquina e agora sabem que você é do tipo de pessoa disposta a pagar dinheiro para recuperar o acesso ao equipamento ou aos dados. Resumindo, você pode ser novamente o alvo de um ataque futuro.

Caso seja vítima de um ataque de ransomware, terei que pagar o resgate?

Não recomendamos. Lembre-se: não há forma de evitar que os cibercriminosos exijam o pagamento de mais dinheiro. Se você paga o resgate está ajudando a criar um novo mercado, o que pode conduzir a mais ciberataques de ransomware e de outros tipos de malware.

No lugar de pagar, aprenda a lição: obtenha uma melhor proteção e faça cópias de segurança para recuperar os arquivos essenciais para o caso de que voltem a atacar.

Meu antivírus não pode simplesmente eliminar a infecção do ransomware?

Sim, na maioria dos casos, um bom software de segurança é capaz de eliminar o ransomware do equipamento. No entanto, o problema não termina aí, pois caso seja um filecoder, os arquivos continuarão criptografados. O software de segurança pode fazer a descriptografia da informação confidencial, caso tenha sido utilizado um filecoder básico no golpe, mas os arquivos que foram atacados por um tipo mais sofisticado de ransomware como Cryptolocker são impossíveis de descriptografar sem a senha correta.

Por isso, o melhor é sempre estar prevenido.

Os filecoders que criptografam arquivos confidenciais são piores que o malware de tela de bloqueio?

Sim. Na maioria das situações, a recuperação é mais difícil em ataques de ransomware de criptografia de arquivos que em outros tipos. No entanto, se você tem uma cópia de segurança que não foi alcançada pelo golpe, não será muito difícil voltar a deixar tudo pronto e funcionamento rapidamente.

Para ser franco, o pior tipo de malware sempre é o que infectou o seu computador.

A quantidade de ransoware do tipo filecorder está aumentando?

Provavelmente você já saiba a resposta para esta pergunta. Sim, os pesquisadores da ESET estão encontrando cada vez mais malware de criptografia de arquivos e durante os anos esse número apenas aumentou. O seguinte gráfico mostra o crescimento de Filecoder desde julho de 2013:

filecoder-growth-over-time1

Quais sistemas operacionais já foram vítimas?

Em teoria, não há nada que detenha aos cibercriminosos para projetar ransomware direcionado a qualquer sistema operacional, mas a maioria dos ataques são voltados aos usuários do Windows.

No entanto, há pouco tempo, os pesquisadores da ESET, detectaram o Android/Simplocker, o primeiro trojan de criptografia de arquivos que exige aos usuários do Android o pagamento de um resgate por meio de um Centro de Comando e Controle.

Está claro que as coisas estão se tornando cada vez mais sofisticadas no mundo do ransomware, inclusive para smartphones.

Quer dizer que os smartphones também estão em risco?

Correto. Sem dúvida, a ameaça de malware é muito menor nos dispositivos iOS (inclusive os liberados) do que no Android.

Discussão