Ransomware: o que é e como se proteger?

Eles também podem ser usados em conjunto com práticas de cyberstalking, phishing, whaling e outras formas de ciberataques, permitindo intromissões maiores nos dispositivos infectados das vítimas.

Então, em termos simples, ransomware funciona como um ataque baseado no sequestro de informações que pode afetar qualquer tipo de dispositivo, inclusive smartphones. Os golpistas ocasionam uma violação de dados e ganham acesso aos dados roubados (geralmente, bloqueados por senha no próprio dispositivo da vítima ou transferidos para outro dispositivo). Sem a senha ou chave, a vítima não consegue acessar os próprios dados.

Em geral, os hackers exigem pagamentos em criptomoedas, que são praticamente impossíveis de rastrear. Isto dificulta a identificação deles.

Entre os tipos de arquivos normalmente afetados pelo ransomware, temos:

• Arquivos do Microsoft Office: .xlsx, .docx e .pptx além de versões mais antigas
• Imagens: .jpeg, .png, .jpeg, .gif
• Imagens relacionadas a negócios: .dwg
• Arquivos de dados: .sql e .ai
• Vídeos: .avi, .m4a, .mp4

Existem basicamente duas classes principais de ransomware: ransomware de bloqueio (locker ransomware) e ransomware de criptografia (crypto ransomware).

• A categoria de ransomware de bloqueio traz tipos que afetam as funções básicas dos dispositivos, podendo, por exemplo, impedir que o usuário acesse a área de trabalho ou limitar a funcionalidade do teclado e do mouse.
• Já os chamados ransomware de criptografia são aqueles responsáveis por criptografar os arquivos dos usuários, impossibilitando que eles sejam acessados sem um código especial que, por óbvio, apenas os criminosos têm.

Dependendo do propósito do ransomware, há ainda outros tipos, como:

• Double extortion ransomware: malware que deixa todos os arquivos criptografados e exporta os dados das vítimas para chantagear as vítimas e fazer com que elas paguem um valor de “resgate”.
• RaaS: trata-se de um modelo de negócios da dark web cujo objetivo é ajudar hackers a aprimorar seus ataques de ransomware. Em termos gerais, os desenvolvedores criam os programas de ransomware e qualquer um pode pagar para usá-los e aplicar golpes pela rede.
• Locker: mais agressivo, o Locker é voltado não só ao bloqueio de determinados arquivos ou pastas, mas sim de sistemas operacionais inteiros.
• Doxware: é usado para sequestrar os dados, mas também para divulgá-los em massa, sendo usado principalmente para pegar arquivos “comprometedores” e, assim, extorquir as vítimas ameaçando-as com a exposição deles.

Entre os exemplos mais famosos de ransomware, temos os mencionados abaixo:

• WannaCry: o WannaCry usa vulnerabilidades do Windows; as versões mais atuais do Windows corrigem essas vulnerabilidades, mas esse malware continua sendo usado principalmente contra dispositivos desatualizados. Além de roubar e sequestrar os dados, ele também pode causar danos irreversíveis aos arquivos;
• Reveton: o Reveton é um dos tipos de ransomware mais antigos, o que não o torna menos perigoso. Basicamente, ele exibe uma falsa mensagem de alguma autoridade ou órgão de governo, avisando que atividades ilegais foram praticadas no dispositivo e que é preciso pagar multas pelos supostos crimes;
• Cerber e Locky: eles buscam tipos de arquivos pré-definidos e bloqueiam o acesso a eles enviando uma mensagem para a vítima exigindo o resgate e dando instruções sobre como fazer o pagamento;
• Spora: invade o dispositivo por meio de phishing, bloqueando os arquivos do sistema infectado. Disfarçado de um administrador de rede, ele insere uma janela de pop up que não é fechada até a vítima realizar o pagamento;
• Petya: ele usa a mesma vulnerabilidade explorada pelo WannaCry, mas, diferente dos outros tipos, ele impede o acesso ao disco rígido (o HD) em si, impedindo até mesmo a inicialização do Windows.
• Bad Rabbit: visto pela primeira vez em 2017, o Bad Rabbit costumava ser distribuído como uma atualização fajuta do Adobe Flash em sites maliciosos. Após a infecção, ele compromete imediatamente os dados do dispositivo e direciona o usuário a uma página de pagamento para que o “resgate” seja feito.
• Crysis: geralmente escondido em arquivos compartilhados por e-mail ou em supostos instaladores de vídeo games, o Crysis busca arquivos pessoais para criptografar e exigir um pagamento para o “resgate”.
• Jigsaw: uma das primeiras variantes de locker ransomware a cumprir com a ameaça de excluir os arquivos até que o pagamento seja realizado, o Jigsaw geralmente determina um pequeno espaço de tempo para o usuário pagar o “resgate”, do contrário, ele ameaça excluir ainda mais arquivos.
• GoldenEye: espalhado por e-mails de phishing, o GoldenEye criptografa os arquivos do usuário e pode também limitar ou revogar completamente funções básicas do dispositivo.
• Maze: o Maze é um crypto ransomware que tem como alvo principal companhias e organizações. Após a infecção, ele solicita um pagamento às vítimas para devolver os arquivos roubados e, caso sua exigência não seja atendida, ele vaza os documentos confidenciais ao público.
• DarkSide: semelhante ao Maze, o Darkside ataca principalmente organizações de alto poder econômico, criptografando e roubando seus dados confidenciais e ameaçando expor os arquivos caso o pagamento exigido não seja feito.
• BlackCat: trata-se de um novo ransomware, que inclusive tem feito várias vítimas no Brasil em 2022. Ele se baseia na linguagem computacional Rust e consegue afetar dispositivos Windows e Linux.

Há vários métodos para disseminar ransomware e, basicamente, eles não são muito diferentes dos meios utilizados para disseminar outros tipos de malware.

Seu dispositivo pode ser infectado com ransomware através de ataques de phishing>, links maliciosos, downloads de fontes inseguras ou outros métodos de engenharia social.

Depois de infectar o dispositivo e ser ativado, ele criptografa (ou seja, bloqueia o acesso) um arquivo, uma pasta ou até mesmo um HD/SSD inteiro, e a vítima é avisada de que precisa pagar para ter o acesso restabelecido.

E, mesmo que você pague o valor exigido, não há nenhuma garantia de que seus arquivos serão devolvidos e isto não impede os criminosos de danificá-los, instalar mais malware no seu dispositivo ou causar danos irreversíveis a ele.

Qualquer um pode ser vítima de ransomware, mas, em geral, os ataques são direcionados contra estes alvos específicos:

• Grupos e empresas que lidam com informações sensíveis, já que elas são mais propensas a aceitar pagar pelo resgate dos dados essenciais;
• Indivíduos com dados potencialmente sensíveis, como celebridades, figuras políticas e pessoas de destaque em geral;
• Entidades de países ricos que, teoricamente, podem dispor de quantidades de dinheiro maiores e, consequentemente, pagar por resgates mais altos;
• Organizações ou pessoas que tenham infraestrutura desatualizada e segurança mais frágil, tendo menos condições de resistir a um ataque do tipo.

Mas mesmo que você não se enquadre em nenhum grupo acima, não se engane: suas informações são valiosas e você pode ser potencialmente uma vítima de um ataque do tipo.

E as consequências deste tipo de ataque podem ser muito ruins, mesmo para pessoas “comuns”: você pode perder arquivos importantes, perder sua privacidade e ter prejuízos em equipamentos e dados.

Após sofrer um ataque de ransomware, há algumas alternativas básicas que podem ser adotadas, como:

• Tentar usar de ferramentas de segurança para remover a ameaça por conta;
• Pagar o valor solicitado pelos criminosos e esperar que eles realmente liberem os arquivos “sequestrados”;
• Restaurar o dispositivo para as configurações de fábrica na esperança de poder acessá-lo novamente.

Entre os sinais mais comuns de uma infecção por ransomware, destacam-se:

• O bloqueio do navegador ou da área de trabalho com uma mensagem ou aviso solicitando um pagamento para que o sistema seja liberado;
• Os seus sistemas estão travados e há um arquivo, sob um nome sugestivo como “nota de resgate” (ou ransom note, em inglês) com a mensagem sobre o pagamento;
• As funcionalidades básicas do seu dispositivo, incluindo teclado e mouse, estão limitadas ou mesmo totalmente impedidas, e você encontra um alerta sobre o pagamento;
• Todos os seus arquivos apresentam uma nova extensão adicionada a seu nome, indicando que eles foram criptografados. Entre as extensões mais comuns, temos:
  • .abc, .ccc, .vvv, .abc., .xxx, .ttt, .micro, .zzz, .encrypted, .locked, .crypto, _crypt, .locky, entre outros.

Se você não se deparou com nenhum desses sintomas, mas recebeu um alerta estranho (geralmente na forma de pop-up) afirmando que seu dispositivo está infectado com um ransomware (ou qualquer malware) e que você precisa instalar imediatamente um suposto antivírus, há uma boa probabilidade de o caso ser apenas um scareware, e não um ransomware de fato.

Os scarewares são, em linhas gerais, uma forma de malware que usa de programas de segurança digital na internet, fingindo encontrar uma variedade de falsas ameaças em seu dispositivo para vender seus serviços fajutos a usuários desavisados. A melhor estratégia diante de um scareware é simplesmente fechar a aba ou o pop-up e ignorar a mensagem.

A melhor estratégia é sempre prevenir o ransonware, mas caso já não seja possível fazê-lo, você pode tentar se livrar de uma infecção por ransomware adotando os seguintes passos:

1. Isole o computador infectado: desconecte-o imediatamente de qualquer conexão, seja à internet, ou de outras redes, demais dispositivos, pen drives, HD externos, entre outros. Isso vai evitar que o malware se propague.
2. Determine o tipo de ransomware: saber com qual tipo você está lidando pode ajudar a determinar quais medidas tomar. Se o acesso ao dispositivo está bloqueado, isso não será possível, e você precisará da assistência de um profissional. Em outros casos, ferramentas gratuitas ou pagas podem auxiliar no diagnóstico.
3. Remova o ransomware: antes de recuperar seu sistema, você precisa remover o malware. Para isso, você pode usar de programas anti-ransomware, capazes de isolar e excluir o programa malicioso. Em alguns casos, bastará reiniciar o dispositivo em modo de segurança para poder executar um desses programas e eliminar o malware. Em outros, você pode precisar da ajuda de um profissional.
4. Recupere o sistema: uma vez removido o programa malicioso, recupere seus arquivos restaurando versões antigas do sistema operacional de antes do ataque. Se os seus backups não foram afetados, você pode usar a função de Restauração do Sistema.

Essa é uma questão complicada, mas em geral a resposta é não.

Em primeiro lugar, embora seja verdade que, às vezes, é mais fácil e barato simplesmente pagar o valor pedido para recuperar seus arquivos, ao fazê-lo, você acaba sustentando uma prática criminosa, isto é, você encoraja os hackers a continuarem buscando lucro com essas práticas.

Em segundo, não há nenhuma garantia de que os criminosos manterão a palavra e liberarão seus arquivos. Nada os impede de continuar pedindo por mais dinheiro ou apenas excluir todos os seus arquivos sem nenhum motivo. Pagar o resgate é, portanto, uma escolha arriscada.

As melhores alternativas envolvem pedir ajuda a profissionais experientes. Com o apoio tanto de especialistas em segurança de dados quanto das autoridades, suas chances de recuperar seus documentos é bem maior.

Além disso, é importante ter em mente que, ao acionar as autoridades competentes, você pode contribuir também para que a ocorrência de casos parecidos seja minimizada.

Para minimizar os riscos de ser atingido por roubo e sequestro de dados, você pode tomar uma série de medidas que vão melhorar sua segurança, sua privacidade e o sigilo das suas informações:

• Acompanhe as principais atualizações sobre golpes e ataques feitos por criminosos para se precaver, a informação é sua melhor aliada;
• Crie senhas seguras e fortes (com maiúsculas, minúsculas, números e caracteres especiais) e jamais compartilhe seus dados de acesso com terceiros;
• Faça um backup seguro para criar uma reserva dos seus arquivos mais importantes (assim, se algum criminoso sequestrar seus dados, você terá uma cópia deles e conseguirá manter seu backup em uma nuvem criptografada);
• Mantenha seus programas, aplicativos e sistemas operacionais sempre atualizados, porque o ransomware explora vulnerabilidades e as atualizações resolvem estas brechas;
• Remova qualquer programa ou aplicativo suspeito ou que você não reconheça; se você não se lembra de ter instalado certo programa, há grandes chances de ser um malware colocado no seu dispositivo sem seu conhecimento;
• Se você lida com dados sensíveis ou possui outras razões para se preocupar ainda mais com roubo de dados, tente não se expor muito online, principalmente em redes sociais;
• Baixe uma VPN confiável para criptografar sua conexão e os dados enviados e recebidos por ela. Com a NordVPN, além de todos os benefícios clássicos de uma VPN, você ainda tem acesso à funcionalidade Proteção contra Vírus e Ameaças, que é capaz de bloquear sites suspeitos e evitar o download de arquivos infectados, mesmo se o usuário acidentalmente clicar em links maliciosos, prevenindo assim ataques de ransomware e outras ameaças da rede em seus dispositivos.

Todas essas dicas ajudam a reduzir significativamente suas chances de sofrer não só com ransomware, mas com qualquer outro tipo de ameaça virtual.