O que é ransomware?
Ransomware é um software maligno que criptografa arquivos em seu site e bloqueia completamente seu acesso a eles. Ele se espalha através de cibercriminosos que exigem um resgate (geralmente entre 300 e 500 dólares/libras/euros, preferivelmente pagos em bitcoins), declarando que, ao pagar, você receberá uma chave de descriptografia para recuperar seus arquivos.
O primeiro ataque de ransomware registrado ocorreu em 1989, quando o biólogo evolucionista Joseph Popp infectou disquetes com o cavalo de Troia AIDS e os distribuiu para colegas pesquisadores. O malware não era executado imediatamente, mas aguardava até que as vítimas reiniciassem seus PCs 90 vezes. Finalmente, ele criptografava todos os arquivos do sistema e solicitava que os usuários pagassem US$ 189 para desfazer o dano. Felizmente, especialistas criaram ferramentas para remover o malware e descriptografar os arquivos infectados.
[Conheça o Malware Scanner Original. O antivírus mais poderoso para seu site ou blog]
Mas, ransomware é um vírus? Não. Vírus infectam seus arquivos ou software e têm a capacidade de se replicar. O ransomware bagunça os arquivos de seu site para torná-los inutilizáveis inacessíveis e depois exige um pagamento. Eles podem ser removidos por um antivírus, mas se seus arquivos estiverem criptografados, é possível que eles nunca mais sejam recuperados.
Tipos de ransomware
Existem ransomwares de todos os tipos. Algumas variações são mais prejudiciais que outras, mas todos têm uma coisa em comum: o resgate.
Crypto malware ou criptografadores é o tipo mais comum de ransomware e pode causar muito prejuízo. Além de extorquir mais de US$ 50.000 de suas vítimas, o WannaCry colocou, literalmente, milhares de vidas em risco quando atingiu hospitais em todo o mundo e impediu que os funcionários de saúde acessassem os arquivos dos pacientes.
Bloqueadores infectam seu sistema site para impedir completamente que você acesse e impossibilita o acesso a qualquer pessoa.
Scareware é um software falso (como antivírus ou ferramenta de limpeza) que diz ter encontrado problemas em seu sistema e que exige um pagamento para repará-los. Algumas variedades bloqueiam seu computador e outras inundam sua tela com alertas e pop-ups irritantes.
Doxware (ou leakware) ameaça publicar suas informações online roubadas se você não efetuar um pagamento. Todos nós armazenamos arquivos sensíveis em nossos servidores (desde contratos e documentos pessoais até fotos constrangedoras), por isso, é fácil ver porque isso causa pânico.
RaaS (Ransomware como serviço) é um
malware
hospedado anonimamente por um cibercriminoso que cuida de tudo (da distribuição do ransomware, coleta de pagamentos, gerenciamento de descriptografadores) em troca de uma parte do resgate.
Ataques de ransomware em 2017
Com dezenas de kits de ferramentas de malware disponíveis no mercado negro na internet, os cibercriminosos têm uma base sólida para aproveitar. Ataques recentes mostraram que criminosos cibernéticos trabalham duro para melhorar o código, adicionando recursos que tornam a detecção mais difícil e ajustando detalhadamente seus e-mails malignos para torná-los visualmente mais legítimos.
Vamos examinar mais detalhadamente os maiores ataques de ransomware de 2017, WannaCry e Petna.
Após infectar mais de 10.000 organizações e 200.000 pessoas em mais de 150 países, o WannaCry ganhou sua reputação de ataque de ransomware mais amplo até o momento. Ele usou um
exploit
conhecido como ETERNALBLUE, que aproveita uma vulnerabilidade do SMB (Server Message Block, um protocolo de compartilhamento de arquivos de rede) do Windows, intitulada MS17-010.
Você é alvo de ransomware?
Quando se trata de ransomwares, todos podem ser alvo. Por exemplo, o WannaCry aproveitou uma vulnerabilidade de servidores Windows para se espalhar e infectar mais de 200.000 usuários como você, além de 10.000 empresas, autoridades públicas e organizações em todo o mundo.
Todos aqueles que não instalaram as correções de segurança da Microsoft lançadas em março estavam vulneráveis. O usuários do Windows XP foram os mais atingidos: Há três anos, a Microsoft encerrou o suporte para essa versão do Windows e só se sentiu motivada a lançar uma correção para ela bem depois que o ataque tinha se tornado grave. (Se você ainda está usando essa versão, deveria realmente considerar uma atualização para uma versão mais recente).
Embora fazer uma correção ou atualização para corrigir tais problemas seja geralmente rápido para usuários comuns, empresas e organizações estão muito mais vulneráveis. Eles frequentemente usam software personalizado que deixaria de funcionar com atualizações e precisam implantar as correções em um número imenso de dispositivos, o que os atrasa. Algumas organizações também não têm fundos para isso. Espera-se que orçamentos de hospitais salvem vidas e não computadores, embora algumas vezes isso signifique a mesma coisa, quando seus sistemas são invadidos e eles são impedidos de acessar os históricos de pacientes.
O crime cibernético é a preocupação nº1 de organizações que trabalham com dados sigilosos, mas isso não significa que os usuários comuns de PC estejam a salvo: suas fotos de família e arquivos pessoais têm o mesmo valor para os cibercriminosos.
Como o ransomware infecta seu PC ou hospedagem
De anexos malignos de e-mail a links falsos para fraudes em redes sociais, o ransomware se espalha rapidamente e tem grande impacto. Ele entra em seu site das seguintes maneiras:
Engenharia social - um termo chique para enganar as pessoas a baixarem malware de um anexo ou link falso. Arquivos malignos são frequentemente disfarçados de documentos comuns (confirmações de compra, recibos, contas, notificações plugins Addon ou temas) e parecem ter sido enviados por uma empresa ou instituição de boa reputação. Basta baixar um deles em seu, tentar abri-lo e bum! Você está infectado.
Malvertising - anúncios pagos que enviam ransomware, spyware, vírus e outros itens malignos, com o clique de um botão. Sim, cibercriminosos comprarão até espaço publicitário em sites populares (incluindo redes de mídias sociais ou YouTube) para colocar as mãos em seus dados.
Kits de exploit - código pré-escrito, embalados lindamente em uma ferramenta de hacking pronta para o uso. Como você deve ter adivinhado, esses kits são projetados para explorar vulnerabilidades e falhas de segurança causadas por software desatualizado.
Downloads automáticos (“drive by”) - arquivos perigosos que nunca foram solicitados. Alguns sites malignos aproveitam navegadores ou aplicativos desatualizados para baixar discretamente malware em segundo plano, enquanto você está navegando em um site ou assistindo a um vídeo que parece inocente.
Como saber se você está infectado
Tudo pode começar com um e-mail que parece inocente, supostamente enviado de uma fonte legítima, solicitando que você baixe uma fatura ou outro documento importante para atualização. Frequentemente, os cibercriminosos ocultam a extensão real para fazer com que as vítimas pensem que o arquivo é um PDF, documento do Word ou planilha do Excel. Na verdade, ele é um arquivo executável que começa a funcionar em segundo plano quando é clicado.
Por algum tempo, nada de especial acontece. Seus arquivos ainda podem ser acessados e tudo funciona bem, aparentemente. Mas o malware está entrando em contato discretamente com o servidor do cibercriminoso, gerando um par de chaves: uma pública para criptografar seus arquivos e uma privada, armazenada no servidor do hacker, usada para decodificá-los.
Assim que o ransomware encontra o caminho para seu disco rígido, você não tem muito tempo para salvar seus dados. A partir desse ponto, ele não mais precisa de nenhuma ação sua. O ransomware simplesmente começa a funcionar e criptografar seus arquivos e se revela apenas quando o estrago está feito.
Uma nota de resgate surge em sua tela, dizendo quanto você precisa pagar e como transferir o dinheiro. Assim que o relógio começa a correr, você geralmente tem 72 horas para pagar o resgate e o preço aumenta se o prazo não for cumprido.
Enquanto isso, não será possível abrir seus arquivos criptografados e caso você tente, receberá uma mensagem de erro dizendo que seu arquivo não pode ser carregado, que está corrompido ou é inválido.
Como remover ransomware
A menos que esteja impedido de acessar seu site, excluir ransomware é muito simples. De fato, é igual a remover um vírus ou qualquer outro tipo comum de malware. Mas o ponto principal é esse: entre no Malware Scanner Original execute uma varredura de vírus para excluir o malware ou remova-o manualmente.
As coisas são um pouco mais complicadas se seu site estiver infectado com um bloqueador que evita que você entre em seu código fonte ou execute qualquer outro programa. Há 3 maneiras de corrigir isso: fazer uma restauração do seu site para voltar do ponto de início, executar o Malware Scanner Original a partir do novo ponto de início.
Dicas de prevenção de ransomware:
Além de evitar códigos ou links suspeitos, spam e anexos de e-mail que não são esperados, há três ações essenciais que podem ser efetuadas para garantir que você não perca seus arquivos no próximo ataque de ransomware.
1. Faça backup de seus arquivos
Em unidades externas. Ou na nuvem. Ou nas duas. Com tantos serviços gratuitos de armazenamento na nuvem disponíveis, você realmente não tem nenhuma desculpa. Dropbox, Google Drive… Faça sua escolha e certifique-se de ter todos os seus documentos e fotos importantes armazenados com segurança. Para ficar ainda mais seguro, escolha um serviço com histórico de versão. Assim, se algo acontecer com sua conta, você poderá restaurar facilmente para uma versão anterior.
2. Use um antivírus atualizado
Software antivírus oferece proteção essencial contra tudo que quiser prejudicar seu site. Não queremos nos gabar, mas nosso Malware Scanner Original protege seu site mais do que você poderia imaginar. E com o Malware Scanner Original, você também pode obter proteção contra ransomware, que impede que sistemas suspeitos alterem seus arquivos.
3. Mantenha seu sistema operacional atualizado
Se você estava prestando atenção quando falamos sobre o WannaCry, você já deve saber que as atualizações de segurança são vitais para a segurança do seu computador. Softwares desatualizados tornam você mais vulnerável a todos os tipos de malware, incluindo ransomware.
Pagar ou não o resgate?
Nesse ponto, é provável que você tenha feito a temida pergunta a si mesmo. E com ransomware sendo tão assustador, não podemos culpá-lo!
Os cibercriminosos não discriminam. Sua única meta é infectar o máximo de computadores possível, pois é assim que eles ganham dinheiro. Isso também é um “negócio” muito lucrativo, com vítimas pagando centenas de milhares de dólares para recuperar seus dados.
E
m junho de 2017, a empresa de hospedagem web sul-coreana Nayana pagou 397,6 bitcoin (aproximadamente US$ 1 milhão na época) após um ataque do ransomware Erebus. Esse é o maior resgate pago até o momento e prova o quanto as empresas estão vulneráveis.
Porém, você está lidando com golpistas e, por isso, pagar o resgate não garante nada. Às vezes, eles simplesmente aumentam o preço se encontrarem alguém desesperado o bastante para pagar. Ou veja o exemplo do Petya. O ransomware tinha um bug em seu código que impossibilita qualquer recuperação. Mas, o mais importante, os pagamentos encorajam os cibercriminosos a voltar, atacar com mais força e exigir mais dinheiro.
Então, você deveria pagar? Nossa resposta é um “grande não”. Em vez disso, consiga um bom antivírus, para que nunca mais precise se preocupar com ransomwares e vírus.
