Ransomware: o que é, e como pará-lo?

O ransomware é semelhante a outros tipos de malware, no sentido em que é um programa enviado para o computador ou sistema informático da vítima. O malware tem a capacidade de identificar e encriptar os dados da vítima, que perde o acesso aos mesmos. Geralmente, o criminoso tem a possibilidade de lhes aceder, embora seja possível lançar um ataque de ransomware sem que tal se verifique – o importante é que a vítima perca o acesso aos dados e, dessa forma, fique à mercê da vontade do cibercriminoso.

Quanto às falhas de segurança que permitem estes ataques, têm diversas naturezas. O “talento” do hacker, aliás, do “black hat hacker”, é precisamente identificar essas fragilidades. Pode existir uma falha no protocolo de transmissão de dados entre servidores que permita ao cibercriminoso apresentar-se a um servidor com uma ciber-identidade falsa. O sistema é levado a pensar que está perante uma comunicação legítima quando na verdade é um hacker a tentar penetrar ou tomar conta do sistema.

As empresas de desenvolvimento de software lançam periodicamente atualizações para cobrir essas brechas, sendo famosos os updates da Microsoft ao Windows. Mas o hacker procura estar sempre um passo à frente.

Os especialistas identificam vários tipos de ransomware, que se distinguem pelo método como atuam e pelas consequências que possam ter. O objetivo – levar a vítima a pagar um resgate em dinheiro ao criminoso – é igual para todos. Vejamos alguns exemplos.

“Scare” significa “susto”. Um “software de susto” é um software que intimida a vítima e tenta convencê-la a pagar ao hacker, mas sem que tenham sido causados danos ou sem que nenhuma informação tenha sido roubada.

Um exemplo clássico é o vírus que surge precisamente sob a forma de um falso software antivírus, alertando o utilizador, de forma sensacionalista, para o facto de ter o computador perigosamente infetado. O utilizador terá de fazer um pagamento para instalar o falso software, removendo a ameaça. O scareware é relativamente comum porque é mais fácil de propagar junto de um grande número de pessoas, à imagem de qualquer outro malware. Não são necessários conhecimentos avançados de hacking para lançar ataques deste género. Por outro lado, os “lucros” resultantes destes ataques são geralmente baixos para os criminosos.

Utilize proteção online. A NordVPN é uma ferramenta de confiança que o vai ajudar a manter-se anónimo e seguro e que pode experimentar por 30 dias sem riscos!

Tal como referido acima, este é o tipo de ataque que encripta os dados do utilizador, exigindo um pagamento para a sua desencriptação, isto é, para a sua devolução.

“Locker” significa “fechadura”. Neste tipo de ataque, o cibercriminoso não bloqueia os dados; em vez disso, bloqueia o computador (ou smartphone, servidor, etc.) da vítima. Esta deixa de poder aceder ao seu equipamento, que passa a ser comandado remotamente pelo criminoso. Ainda que a vítima corte a ligação de internet do computador (esgotando a bateria ou desligando da eletricidade, por exemplo), não terá o aparelho de volta quando o ligar novamente.

Ao contrário do que se possa pensar, a maioria do ransomware não se espalha de forma significativamente diferente do malware, em geral. A forma mais simples e difundida é através das bem chamadas técnicas de “engenharia social”, numa tradução literal da expressão inglesa. Estes métodos simples e bem conhecidos enganam a vítima, que é levada a pensar que tem pela frente um conteúdo legítimo e é ela própria a autorizar o acesso do hacker ao seu aparelho. Tal como uma pessoa idosa que abre voluntariamente a porta a um burlão que se faça passa por um técnico de eletricidade ou da Segurança Social.

Referimo-nos, por exemplo, a técnicas de phishing ou ao envio de links maliciosos em mensagens aparentemente vindas de amigos, ou de origens conhecidas. Notícias com títulos sensacionalistas, com a intenção de levar as pessoas a clicar no respetivo link para saber mais, também são meios vulgarmente utilizados para espalhar malware e também ransomware.

Qualquer estudante de História facilmente compreenderia que era inevitável, mais cedo ou mais tarde, após a criação da World Wide Web e do seu acelerado desenvolvimento, que um fenómeno deste género acabasse por surgir. Os primeiros casos relatados de software expressamente desenvolvido para exigir resgates a vítimas remotas (através da internet) surgiram na Rússia, por volta de 2005. O fenómeno tem continuado a crescer.

A maior parte dos programas, como não tem impacto sobre milhares de vítimas ou não envolve vítimas de grande porte, passa ao lado da comunicação social e da opinião. Mas alguns casos tornaram-se famosos.

• O ficheiro CryptoLocker, em 2013, infetou centenas de milhares de computadores pessoais por todo o mundo, através do próprio Windows, exigindo o pagamento de cerca de 250 euros num prazo de poucos dias. O software era facilmente removível do computador, mas espalhava-se com grande eficácia – e reaver os dados encriptados era praticamente impossível.
• Já em 2017 foi a vez do WannaCry atacar cerca de 200 000 computadores, com especial incidência na Rússia, Índia e Taiwan, mas causando também danos no sistema estatal de saúde do Reino Unido.

Os pagamentos são frequentemente exigidos em Bitcoin ou noutras criptomoedas menos controláveis, de modo a diminuir ao máximo a “pegada eletrónica” associada ao crime e dificultar o trabalho das autoridades.

Estima-se que organizações ilegais (crime organizado, terrorismo, etc.) se dediquem expressamente à propagação de ransomware como forma de financiamento. Os Estados Unidos e o Reino Unido acusaram formalmente a Coreia do Norte de estar por trás do WannaCry. É fácil de concluir que o ransomware seja normalmente considerado como um exemplo extremo e especialmente perigoso de hacking, tendo em conta os potenciais danos.

A experiência diz que na maioria das situações sucede como no caso do CryptoLocker acima descrito. O software malicioso pode ser removido, por vezes com alguma facilidade. Mas se se tratar de um ataque do tipo “crypto”, que provoque a encriptação de dados, é muito difícil ou praticamente impossível recuperá-los. A prevenção e proteção contra ransomware é o melhor caminho.

• Recuse o pedido dos criminosos. Mesmo que você realize o pagamento, não existe nenhuma garantia que o hacker lhe vai devolver os seus dados. Ao pagar, você estará apenas a incentivar o criminoso a realizar ainda mais ataques.
• Contacte as autoridades. Ao fazer o pedido de resgate, o criminoso pode ter deixado algumas pistas que podem ajudar os especialistas a identificá-lo e a puni-lo conforme a lei.
• Caso seja possível, remova o software relacionado com o ataque do seu computador ou telemóvel para evitar novos pedidos de resgate.
• Faça alguma pesquisa na Internet com as informações que tem disponíveis para garantir que o ataque de ransomware não se trata apenas de um ataque de scareware. Em alguns casos, é possível fazer uma distinção rápida entre os dois.

• Mantenha o software dos seus computadores, telemóveis, etc., sempre atualizado.
• Inspecione regularmente a lista de apps e programas instalados nos seus aparelhos. Se não reconhece algum, investigue-o; se não for essencial para o funcionamento do computador ou telemóvel, desinstale-o.
• Desconfie de e-mails, mensagens em redes sociais ou serviços de chat como o WhatsApp, links, notícias sensacionalistas, ofertas igualmente sensacionalistas de prémios, etc. – tudo aquilo que possa servir para instalar um software no seu equipamento.
• Se tem dados especialmente sensíveis, guarde uma cópia dos mesmos num disco externo separado ou num serviço na cloud.
• Use passwords complicadas: com uso de maiúsculas, números, caracteres especiais, etc., e que não se baseiem em nomes de familiares ou datas de nascimento. Não use a mesma password para todos os seus serviços (e-mails, redes sociais, etc.).
• Recorra a uma proteção VPN que garanta a privacidade da sua atividade online e que lhe sirva de “escudo” contra hackers. O que é uma VPN? É um software que encripta a sua conexão de internet e esconde o seu endereço de IP. A NordVPN oferece a ferramenta Proteção Contra Ameaças, que bloqueia de modo automático sites suspeitos que possam albergar ransomware ou outro software malicioso, e também inspecionam ficheiros prestes a ser descarregados para o seu computador ou telemóvel, deixando o utilizador muito menos suscetível a este género de ataques.