Início » O que é Ransomware e como ele funciona?

O que é Ransomware e como ele funciona?

por webmaster

Ransomware é um software nocivo que é usado para bloquear dados de computadores e servidores através do uso de algum tipo de criptografia. Esse malware é usado por hackers para exigir resgates, normalmente cobrado em criptomoedas como o bitcoin, para que os dados sejam novamente liberados.

 

O Ransomware pode ser considerado um vírus?

O que é Ransomware - imagem de fundo com a tela do aviso de ataque do Ransomware Wannacry

Não. Apesar do Ransomware também ser um malware, ele não possui a capacidade de auto-replicação de um vírus. Enquanto a propagação de um vírus acontece de forma espontânea e sem controle, o Ransomware é um código malicioso distribuído via internet que criptografa os arquivos de computadores através da exploração de vulnerabilidades encontradas nos sistemas operacionais. Assim que o ataque ocorre, o hacker exige da vítima o pagamento de um resgate para descriptografar os dados e restaurar o acesso as informações.

Assim que um computador é infectado, a vítima recebe instruções para pagamento do regaste para obter a chave que descriptografa os dados. Essa cobrança pode variar de poucas centenas a milhares de dólares, sendo exigido em moedas digitais como Bitcoins. Além do risco da divulgação pública das informações criptografadas, os dados poderão ser perdidos para sempre caso o pagamento exigido não seja feito.

 

Mas afinal, como Ransomware funciona?

 

Como Ransomware funciona - Imagem com computador em um ambiente com vírus e-mail suspeito e hacker tentando capturar dados

 

Existem algumas maneiras que o Ransomware usa para invadir computadores, mas uma das mais comuns é através do envio de emails fraudulentos com anexos nocivos mascarados como arquivos confiáveis. Uma vez baixados e abertos, esses emails instalam um programa malicioso que controlam o computador da vítima, especialmente se o mesmo possuir ferramentas de engenharia social embutidas. Algumas formas mais agressivas de Ransomware como o Petya, também chamado de NotPetya ou ExPtr, explora falhas de segurança para infectar sistemas sem precisar enganar os usuários.

Após instalado, esse tipo de malware permite que o hacker tome diversas ações nocivas dentro do computador da vítima, mas a ação mais comum é criptografar arquivos do sistema infectado. Para mais detalhes técnicos, o Instituto Infosec entrega uma visão detalhada de como os vários tipos de Ransomware criptografam os arquivos. Mas o mais importante é que, ao final do processo, os arquivos não podem ser descriptografados pelo usuário sem uma senha que está em poder do invasor.

Em algumas formas desse malware é exibida uma mensagem onde o invasor alega ser uma agência policial, bloqueando o computador das vítimas devido a presença de softwares pornográficos piratas, exigindo ainda o pagamento de uma “multa”, talvez para tornar as vítimas menos propensas a relatar o ataque às autoridades reais.

Mas a maioria dos ataques não se incomoda com esse fingimento. Em outra variação do Ransomware conhecida como Leakware ou Doxware, o invasor ameaça divulgar dados confidenciais do disco rígido da vítima caso o resgate não seja pago. Como encontrar essas informações é uma proposta mais complicada para os hackers, o Ransomware de criptografia continua sendo o tipo mais comum de ameaça.

 

Todos os sistemas operacionais são suscetíveis a ataques Ransomware?

Todos os sistemas operacionais são suscetíveis a ataques Ransomware - Imagem com o logo dos sistemas operacionais MacOS, Linux e Windows

Sim. Embora muitos pensem de maneira errônea que Ransomware é um malware que só afeta máquinas Windows, isso é um erro. Tanto MacOS quanto Linux são tão suscetíveis aos ataques. O Ransomware está se espalhando rapidamente pela internet, e seu código está ficando cada vez mais sofisticados para atacar qualquer sistema operacional. Os especialistas do setor de TI já estão alertando as empresas para se prepararem para o impacto futuro do estrago que esse malware pode causar.

“Estamos bem no século 21, mas é surpreendente como as pessoas ainda podem acreditar que os sistemas operacionais baseados em Linux são completamente seguros. De fato, “Linux” e “segurança” são duas palavras que você raramente vê juntas.”

Paolo Rovelli especialista em segurança de rede da EndPoints

Assim, apesar de todos os cuidados tomados contra invasões, toda infraestrutura de TI e computadores sempre estará vulnerável, independentemente da solução para proteção de dados utilizada. Por isso, a prática mais recomendada para a proteção de computadores dentro de empresas e residências é o backup de dados. Um backup atualizado e testado certamente irá ajudar a proteger suas informações contra possíveis ataques de Ransomware.

 

Quem é o principal alvo dos ataques?

Existem várias maneiras pelas quais os invasores escolhem organizações mais suscetíveis à ataques do tipo Ransomware. Às vezes é apenas uma questão de oportunidade: Invasores podem ter como seus alvos universidades porque sabem que esse tipo de instituição tende a ter equipes de segurança menores, além de uma base de grande de usuários, quase sempre heterogênea e que compartilha uma grande quantidade de arquivos via email.

Além disso, outras organizações são alvos mais tentadores, pois estão propensas a pagar um resgate rapidamente após receber ameaças. Agências governamentais que precisam disponibilizar acesso imediato de seus arquivos a milhares de usuários e escritórios de advocacia com dados confidenciais são apenas alguns exemplos que organizações que podem pagar o resgate para evitar que seus dados sejam bloqueados ou se espalhem pela mídia.

Apesar de não se encaixar nessas categorias, o risco de ataque sempre existe: Como observado, alguns Ransomwares se espalham automática e indiscriminadamente pela Internet.

 

Como evitar um ataque de Ransomware em seu sistema

Medidas defensivas para evitar Ransomware - Imagem com computador em ambiente seguro e protegido

Algumas medidas defensivas podem ser tomadas para evitar a infecção por Ransomware. Essas medidas são, em geral, boas práticas de segurança e, se corretamente implementadas, melhora suas defesas contra todos os tipos de ataques:

  • Mantenha seu sistema operacional de seu computador ou dispositivo móvel sempre atualizado. Isso diminui as chances de que hackers explorem vulnerabilidades já solucionadas;
  • Não instale softwares e dê privilégios administrativos a ninguém, a menos que você saiba exatamente com quem está tratando;
  • Instale um software antivírus que detecte programas mal-intencionados como o Ransomware. Alguns desses antivírus impede que novos aplicativos sejam executados sem autorização, dificultando a ação dos invasores;

E faça backup dos seus arquivos sempre, preferencialmente de forma automática! Apesar de não impedir um ataque, o backup pode evitar danos significativos causados por esses tipos de malware. Os storages NAS Synology possuem recursos para fazer backup bare metal de diversos computadores, diminuindo o tempo de inatividade caso seja necessária a restauração de um sistema.

 

Alguns passos importantes para a remoção de ransomware são:

  • Reinicie o sistema operacional para o modo de segurança;
  • Instalar um anti-vírus potente;
  • Analise o sistema para encontrar o programa com ransomware.

 

Restaurar o Sistema Operacional ajuda na remoção do Ransomware?

Não. Ao restaurar seu sistema operacional, somente os arquivos de sistema são restaurados, mas os arquivos de dados continuam intactos, ou seja, não são alterados. Como o Ransomware é um malware que criptografa somente arquivos de dados, é impossível removê-lo apenas restaurando seu sistema. A criptografia realizada torna todos arquivos como .xls, .doc etc.. ilegíveis. Além disso, se o malware for sofisticado, será matematicamente impossível que alguém os decifre sem acesso à chave que o hacker detém.

 

Você ou sua empresa devem pagar o resgate?

 

Imagem ilustrativa de um hacker recendo dinheiro de resgate do dados devido ao ransomware

 

A maioria das agências governamentais e especialistas na segurança da informação sugerem que nenhuma quantia seja paga aos invasores, pois atitudes como essa apenas encoraja os hackers a criarem mais ataques desse tipo. Apesar disso, é sabido que muitas organizações afetadas por esse malware  fazem uma análise de custo-benefício, ponderando o preço do resgate em relação ao valor dos dados criptografados. De acordo com uma pesquisa da Trend Micro 66% das empresas dizem que nunca pagarão nenhum resgate em caso de ataque, porém 65% delas realmente pagam quando atingidas.

Os hackers que usam o ransomware mantêm valores de resgate relativamente baixos, geralmente entre US$300 e US$1.300, quantia que usuários e empresas em geral podem pagar em curto prazo. Alguns malwares mais sofisticados detectam o país onde o computador infectado está, ajustando o resgate de acordo com o nível de economia local, exigindo assim mais de empresas localizadas em países ricos que de países pobres.

Outras vezes são oferecidos descontos para pagamento rápido, incentivando as vítimas a tomar uma decisão sem pensar muito sobre o assunto. Em geral o resgate é alto o suficiente para ser vantajoso para o criminoso, porém não mais caro do que a vítima pagaria para restaurar o computador e reconstruir os dados perdidos.

Caso seu computador sofra um ataque, antes de considerar qualquer solução financeira, certifique-se de não estar lidando versões do malware menos agressivas e que não criptografam os dados conhecidas como “scareware”. E, após constatado que os dados foram realmente criptografados, lembre-se que mesmo pagando aos hackers, não existe nenhuma garantia que seus dados serão recuperados. Alguns desses criminosos pedem dinheiro, mas nem mesmo desenvolveram a funcionalidade para a decodificação dos dados bloqueados.

 

Exemplos mais comuns de Ransomware

Embora o Ransomware tecnicamente esteja disponível desde os anos 90, é apenas nos últimos cinco anos que ele realmente decolou, graças aos novos métodos de pagamento não rastreáveis como o Bitcoin. Alguns dos piores ataques são:

 

  • CryptoLocker, um ataque de 2013 que lançou a idade moderna de ransomware infectado até 500.000 máquinas no seu ápice;
  • TeslaCrypt, que teve como alvo melhorias constantes durante seu reinado de terror;
  • SimpleLocker, o primeiro ataque generalizado de ransomware focado em dispositivos móveis;
  • WannaCry, que se espalha de forma autônoma de computador para computador usando Eternal;
  • Blue, uma exploração desenvolvida pela NSA, roubada e utilizada por hackers;
  • NotPetya, que também usou o EternalBlue, fez parte de um ciberataque russo contra a Ucrânia;
  • O Locky, que começou a se espalhar em 2016, “similar em seu modo de ataque ao notório software bancário Dridex”.

 

Ameaças como o Ransomware nos remete a necessidade de providências efetivas para evitar uma possível perda de dados pessoais ou empresariais. Somos especialistas em soluções de backup e sistemas de armazenamento capazes de criar e manter ambientes seguros para seus dados. Comercializamos storages Seagate, Qnap, Synology e Infortrend, que utilizam recursos valiosos para a recuperação de dados em caso de desastres, como snapshot e replicação remota de dados.

Conheça nossos equipamentos para manter seus dados seguros:

3 equipamentos da QNAP

3 equipamentos da Synology

3 equipamentos da Infortrend

Você pode gostar

Deixe um comentário

Este site usa cookies para melhorar sua experiência. Vamos supor que você está de acordo com isso, mas você pode optar por não participar, se desejar. Aceitar Saiba Mais

Política de Privacidade e Cookies