O primeiro ransomware conhecido foi desenvolvido por Joseph Popp. Popp escreveu o Trojan “AIDS” (também conhecido como PC Cyborg) em 1989. Ele alegou que a licença do usuário para um programa de software havia expirado, criptografou os nomes dos arquivos no disco rígido e exigiu que o usuário pagasse US $ 189 à “PC Cyborg Corporation ”Para desbloquear o sistema. Ele criptografou os nomes dos arquivos usando criptografia simétrica. Depois que os especialistas tiveram a chance de analisar o código do malware e as tabelas criptografadas, ficou simples reverter o processo (atualmente, a criptografia de ransomware usa criptografia assimétrica) e rastrear o autor.
Ele criptografa dados ou bloqueia sistemas inteiros; pede resgate em ambos os casos
Essencialmente, existem dois tipos de ransomware - bloqueadores e criptografadores.
Os criptografadores são os Trojans que criptografam todos os tipos de dados que podem ser valiosos para o usuário sem o seu conhecimento. Isso pode incluir fotos pessoais, arquivos, documentos, bancos de dados, etc. Os bloqueadores também são cavalos de Tróia. Alguns dos bloqueadores mais proeminentes são baseados em outros Trojans, como o Reveton baseado no malware bancário ZeuS . Esse tipo de malware apenas bloqueia os sistemas infectados e exige pagamento.
Existe para várias plataformas
O ransomware se tornou extremamente popular na segunda metade de 2000. Inicialmente, a maioria das vítimas eram usuários de PC com Windows. Com o tempo, surgiu o ransomware para outras plataformas, incluindo iOS, Mac OS X e Android.
O pagamento pode ser em vão
Assim como acontece com os extorsionários do mundo real, não há absolutamente nenhuma garantia de que eles cumprirão sua parte no “acordo”. Mesmo que a vítima opte por pagar, isso não significa que ela terá acesso aos seus arquivos. O melhor curso de ação aqui é fazer todo o possível para prevenir a infecção.
Distribuído como outros tipos de malware
O ransomware é distribuído de muitas maneiras, mas na maioria das vezes é entregue por meio de spam ou atua como worms de computador, incitando os usuários a iniciar ou baixar a carga maliciosa usando técnicas genéricas de engenharia social.
O Cryptolocker original , por exemplo, havia sido distribuído via botnet Gameover ZeuS e foi destruído por agências de aplicação da lei durante a famosa Operação Tovar visando a infraestrutura desse botnet. Sem surpresa, os cibercriminosos unem forças para benefícios mútuos. Durante a operação, um banco de dados de chaves privadas usado pelo Cryptolocker foi recuperado, após o qual um serviço online foi estabelecido para ajudar as vítimas a recuperar seus arquivos criptografados usando essas chaves. De graça, é claro.
Exibe mensagem falsa supostamente enviada por organizações de aplicação da lei
O ransomware geralmente tenta assustar os usuários exibindo mensagens falsas, supostamente de agências de aplicação da lei, e acusando-os de várias violações. Há um caso descrito na Wikipedia, em que uma pessoa se entregou à polícia depois de receber uma mensagem falsa do FBI acusando-a de possuir pornografia infantil, que ele possuía. Ele foi preso e mantido sem fiança. Neste caso, um mal desenterrou outro.
Sofisticação cresce
Os criptografadores têm usado esquemas de criptografia RSA cada vez mais sofisticados, com tamanhos de chave cada vez maiores. Em meados de 2006, o temido Gpcode .AG usava uma chave pública RSA de 660 bits. Em dois anos, sua nova variante já usava a chave de 1024 bits, que era quase impossível de quebrar sem um esforço distribuído combinado. O Cryptolocker já usou um par de chaves RSA de 2048 bits.
Aquisições incertas em milhões
O ransomware “adquire” milhões para seus operadores, embora os dados exatos sejam, na melhor das hipóteses, escassos. As estimativas de ambos os valores pagos e do número de vítimas que optaram por pagar são variadas.
A ZDNet monitorou quatro endereços de Bitcoin associados a proprietários de CryptoLocker e encontrou a movimentação de quase 42 mil BTC (equivalente a cerca de US $ 27 milhões) ao longo de três meses no final de 2013. Pesquisas de vítimas de CryptoLockers mostraram vários resultados - 0,4% a 41% relataram o pagamento de um resgate. Após a queda do Gameover ZeuS, foi relatado que cerca de 1,3% das vítimas optaram por pagar. Isso não é muito, mas ainda é bom o suficiente para os criminosos continuarem tentando. O ransomware novo e “melhor” vem em massa, e alguns - como o Onion Trojan - são bastante únicos, originais e extremamente perigosos.
Encargos elevados
Os extorsionários exigem um pagamento de 300+ USD ou Euro por meio de um voucher de dinheiro pré-pago anônimo (MoneyPak, Ukash) ou uma quantia equivalente em Bitcoin dentro de um período de tempo limitado. Se o pagamento não chegar a tempo, a chave pública será excluída e a recuperação do arquivo criptografado se tornará impossível. As empresas recebem demandas muito maiores.
Faça backup dos dados para vencê-los
Impedir que o ransomware ataque os sistemas requer basicamente a mesma abordagem de qualquer outro malware - mantenha o software vulnerável atualizado, bloqueie ou limite qualquer tipo de acesso não autorizado aos dados, etc. Mas há uma diferença: um backup offline é um seguro contra essa ameaça, desde que o malware de criptografia ainda não tenha entrado. Mas, mesmo que tenha ocorrido, há uma janela de oportunidade para se livrar dele depois que os dados forem recuperados do backup.
A criptografia de arquivos leva tempo e requer poder de processamento. Não há nenhum destes últimos no armazenamento de backup offline, portanto a criptografia não ocorre e há a possibilidade de recuperar dados ou identificar os arquivos e processos maliciosos para removê-los.
O Avance Network é uma comunidade fácil de usar que fornece segurança de primeira e não requer muito conhecimento técnico. Com uma conta, você pode proteger sua comunicação e seus dispositivos. O Avance Network não mantém registros de seus dados; portanto, você pode ter certeza de que tudo o que sai do seu dispositivo chega ao outro lado sem inspeção.
