Embora comumente usada para defesa contra ataques cibernéticos, a criptografia também pode ser uma arma ofensiva extremamente poderosa , principalmente na forma de ransomware .

O que é ransomware?

Como o próprio nome indica, o ransomware leva os arquivos de uma pessoa para resgate. O invasor bloqueia o dispositivo ou rede da vítima e exige pagamento para desbloqueá-lo. O ransomware é especialmente prejudicial para empresas e grandes organizações, que muitas vezes se tornam incapazes de operar sem acesso a seus documentos e sistemas.

O ransomware é cada vez mais comum graças aos mercados de ransomware que vendem ransomware como serviço (RaaS) para criminosos com menos experiência em tecnologia. Em outras palavras, você não precisa ser um hacker habilidoso para executar um ataque de ransomware, contanto que esteja disposto a dividir os lucros com alguém que o seja. Esse foi o caso no infame ataque do Oleoduto Colonial que forçou o fechamento de um oleoduto de 5.500 milhas.

Como funciona o ransomware?

O ransomware pode infectar um sistema de várias maneiras. Ele pode ser instalado acidentalmente pelo usuário - contrabandeado para dentro de outro malware ou baixado de um link em um e-mail de phishing - ou, mais raramente, pode ser injetado pelo invasor diretamente por meio de vulnerabilidades na rede ou no dispositivo. 

Uma vez dentro do sistema, o ransomware procura arquivos importantes como fotos, documentos ou bancos de dados inteiros e os criptografa com uma chave pública gerada especificamente para esse ataque. Apenas o invasor possui a chave privada necessária para descriptografar os arquivos. 

As vítimas então veem uma tela de bloqueio - o equivalente digital de uma nota de resgate - explicando sua situação, com instruções sobre como pagar um resgate ao seu invasor em troca da chave de descriptografia (basicamente uma senha). Os invasores quase sempre pedem o pagamento em criptomoedas, o que torna muito difícil para a polícia rastreá-los posteriormente.

Tipos de ransomware: criptografia vs. tela de bloqueio

Nem todo ransomware usa criptografia. Alguns apenas confrontam as vítimas com uma tela de bloqueio, mas não se preocupam em criptografar nenhum arquivo. Este tipo de malware é relativamente fácil de remover reiniciando seu dispositivo no “Modo de Segurança” (ou similar) e desinstalando-o.

Muitas vítimas de ransomware não são experientes o suficiente para saber se seus arquivos foram realmente criptografados. Freqüentemente, os invasores colocam imagens pornográficas na tela de bloqueio e / ou acusam as vítimas de atividades ilegais para desencorajá-las a buscar ajuda especializada. Um exemplo famoso disso foi o WinLock, um esquema russo no início de 2010 que bloqueou dezenas de milhares de vítimas fora de seus desktops Windows até que enviassem um SMS pago caro, supostamente rendendo aos invasores um total de 16 milhões de dólares.

Em um incidente irônico em 2013, um homem recebeu uma nota de ransomware alegando que estava sendo investigado pelo FBI por pornografia infantil. Quando ele levou seu computador infectado para uma delegacia de polícia para contestar a reclamação, a polícia vasculhou seu computador, encontrou pornografia infantil real e prendeu o homem. Só mais tarde eles perceberam que a acusação original era um vírus, e não uma mensagem de ransomware real.

A maioria das vítimas de ransomware, no entanto, são inocentes. Na verdade, o ransomware pode ser desastroso até mesmo para pessoas que não têm nenhuma relação com as máquinas infectadas. Em 2020, uma mulher de 78 anos na Alemanha morreu depois que um ransomware fechou as salas de emergência de um hospital que, de outra forma, poderia ter salvado sua vida.

Você deve pagar o resgate?

As empresas podem querer pagar o resgate não apenas para retomar rapidamente suas operações normais, mas também para evitar a publicidade negativa em torno de seu ataque. Às vezes, as vítimas negociam o resgate com os agressores. 

Os conselhos variam, mas a sabedoria prevalecente é não pagar o resgate , em parte porque não há garantia de que você receberá a chave de descriptografia prometida e em parte porque incentiva a proliferação de mais ransomware - tanto para você quanto para outras vítimas em potencial. Além disso, mesmo que você pague, os invasores ainda podem vender os dados que recebem, agravando o problema. 

Outra razão para não pagar é que você pode tentar remover o ransomware (mais informações abaixo).

Remoção de ransomware: como consertar ransomware

Remover ransomware é complicado. Se os seus arquivos estiverem realmente criptografados com um par de chaves público-privado exclusivo, provavelmente não será possível restaurá-los.

No entanto, ainda existem etapas importantes que você pode realizar para mitigar o dano:

A primeira coisa a fazer é isolar o dispositivo infectado . O malware geralmente é projetado para se espalhar para outros dispositivos por meio de conexões de rede, e o ransomware não é exceção. Remova todas as unidades conectadas fisicamente do seu dispositivo, desative todas as conexões sem fio (emparelhamentos bluetooth, por exemplo) e desconecte o dispositivo da rede Wi-Fi (você também pode fazer isso nas configurações do roteador).

Se o dispositivo infectado foi emitido por sua empresa, entre em contato com o departamento de TI imediatamente. Na verdade, é uma boa ideia fazer isso até mesmo para dispositivos pessoais, pois ainda pode ter havido algum contato entre eles.

Identifique o tipo de ransomware . Você pode precisar de ajuda profissional, mas esta etapa provavelmente determinará se seus dados podem ser recuperados. Use outro dispositivo para pesquisar no Google as instruções na tela de bloqueio para ajudar a identificar o ataque.

Remova o malware. Esta etapa dependerá do tipo de ransomware e do tipo de dispositivo infectado. Na melhor das hipóteses, você poderá remover o programa antes que ele termine de criptografar seus arquivos. Em muitos casos, entretanto, não há nada a ser feito. O ransomware geralmente se exclui após criptografar seus arquivos, para evitar deixar evidências incriminatórias.

Recupere seus arquivos. Novamente, isso pode não ser possível dependendo da criptografia. Alguns casos de ransomware, no entanto, são conhecidos por usar uma chave de descriptografia comum que pode ser reaplicada em seu caso. Você pode encontrar essas chaves e outras etapas de atenuação pesquisando o nome do ransomware depois de identificá-lo.

Mesmo que não haja esperança de descriptografar seus arquivos, você ainda poderá encontrar versões antigas deles. Use outro dispositivo para verificar seu armazenamento em nuvem, discos rígidos externos ou até mesmo seu arquivo de e-mail para arquivos específicos que você pode ter perdido no ataque.

No More Ransom é um excelente recurso para vítimas de ransomware. Você pode usá-lo para identificar seu ataque e encontrar ferramentas de descriptografia, se forem conhecidas.

Como você evita ataques de ransomware?

“Um grama de prevenção vale um quilo de cura” é um conselho especialmente bom quando se trata de ransomware. Aqui estão algumas medidas de precaução que podem salvá-lo de grandes dores de cabeça no futuro:

Faça backup de seus arquivos regularmente , em um disco externo ou para um armazenamento seguro na nuvem. Melhor ainda, torne esses backups automáticos. Portanto, mesmo que seja atacado, você pode desistir de seu dispositivo e de tudo que ele contém.

Evite links suspeitos e anexos de e-mail, especialmente de pessoas que você não conhece. Mesmo pessoas que você conhece podem ter sido infectadas, portanto, fique atento e confie em seus instintos se uma mensagem parecer inadequada.

As empresas precisam investir em segurança cibernética robusta , incluindo o treinamento de sua equipe para evitar e-mails de phishing.