Existem centenas de tipos de malwares que infectam os sistemas operacionais do mundo todo. No entanto, um dos maiores impactos é causado pelo ransomware, que usa a criptografia para requisitar dinheiro às vítimas.
Conhecido por “sequestrar” o computador, é fundamental saber como funciona ransomware para evitá-lo e, se não for possível, saber o que fazer em caso de ataque. É assim que sua empresa estará preparada para evitar o vazamento de informações e a perda de confidencialidade.
Esse é o assunto deste post. A partir de agora, apresentaremos o que é o ransomware, como ele funciona, de que forma os computadores são infectados, como prevenir o ataque e lidar com o problema.
Vamos lá?
O que é o ransomware?
Esse malware é conhecido por “sequestrar” o sistema e deixar uma mensagem solicitando um pagamento em dinheiro. O bloqueio pode ser total ou parcial, e você não consegue acessar os arquivos ou pastas até que o hacker faça a liberação.
malware é conhecido por “sequestrar” o sistema
A restrição é feita por meio da criptografia, o que impossibilita visualizar as informações disponíveis nos documentos do sistema. O pagamento, geralmente, é feito em bitcoin ou por transferência eletrônica e sites de pagamento online.
O problema é que, mesmo após o repasse do valor, o hacker ainda pode impedir o seu acesso — na verdade, é o que costuma ocorrer. Portanto, o ataque se torna um tipo de extorsão.
Em maio de 2017, um dos maiores ataques de ransomware aconteceu, afetando mais de 70 países e registrando acima de 45 mil infecções. O resultado é a perda de acesso à informação e de confidencialidade, além do vazamento dessas informações.
Como funciona ransomware?
O ataque acontece de maneira diferente dependendo do tipo de ransomware que infectou o sistema. Os dois modelos mais comuns são: Cryptolocker e CTB Locker.
O primeiro criptografa os dados por meio de algoritmos como RSA-2048, RSA-1024 e AES-256. Todos são complexos para decifrar e ainda comprimem os arquivos, exibindo o pop-up para pagamento do resgate.
O segundo apenas faz o bloqueio da tela e apresenta a interface que indica a necessidade de pagamento para a liberação dos arquivos.
Em qualquer dos casos, há 6 etapas para o ataque:
- distribuição: os métodos adotados costumam ser bem comuns, geralmente por meio de phishing;
- infecção: o binário entra no computador e começa os processos do ataque. O procedimento pode ser diferente, inclusive, apostar em técnicas mais recentes, por exemplo: geração de um identificador exclusivo, instalar um programa quando a máquina for iniciada, desativar backups e restauração etc.;
- comunicação: o malware obtém a chave pública de criptografia, que pode ocorrer, por exemplo, por um site WordPress infectado;
- pesquisa de arquivos: o malware procura os documentos do usuário de forma sistemática, analisando os importantes e que são difíceis de serem replicados;
- criptografia: os arquivos são movidos e renomeados. As informações se misturam e o acesso é impedido;
- pedido de resgate: o acesso dos arquivos é liberado por meio de pagamento. Isso nem sempre ocorre, mas quando acontece, o usuário recebe a chave para descriptografar os documentos.
Como os computadores são infectados?
O processo de distribuição do malware acontece por meio de phishing. Assim, os usuários infectam os computadores ao clicar em links de e-mail não confiáveis, acessar sites maliciosos ou por pen drives infectados.
É importante lembrar que o phishing tem foco em enganar os usuários para a instalação de programas maliciosos ou roubo de informações.
Como se prevenir do ataque?
A melhor forma de evitar um ataque malicioso é pela atualização constante do antivírus. Alguns desses softwares, especialmente as que possuem planos pagos, conseguem eliminar ou bloquear o ransomware antes de sua execução.
Além disso, é recomendado manter os programas e o próprio sistema atualizados para evitar que o malware aproveite de alguma vulnerabilidade existente. Por fim, indica-se evitar o acesso a e-mails e sites desconhecidos ou pouco confiáveis, que podem ocasionar esse problema.
Como resolver o problema se ele já tiver acontecido?
Se você for uma vítima do ransomware, a resolução do problema é mais complexa. Há antivírus que conseguem remover o malware. Mesmo assim, não há garantia de que dará certo, porque são criados programas maliciosos constantemente e os softwares de proteção podem não ter a sua base de dados atualizada.
Outra questão é que a simples remoção do ransomware não permite o acesso aos arquivos criptografados. Por isso, é essencial fazer backups frequentes. Assim, você pode excluir os documentos infectados e substituir por novos.
Tenha em mente que o pagamento exigido pelo hacker não é recomendado. Mesmo com o repasse do valor, os dados podem continuar criptografados e inacessíveis.
Portanto, caso a tela esteja bloqueada, reinicie o computador em modo de segurança e tente utilizar o seu antivírus para remover o ransomware. Essa prática pode ser feita ao pressionar a tecla F8 durante a inicialização do sistema até que surja a opção de abri-lo nessa modalidade.
Pereba que o modo de segurança é necessário para que o Windows ative exclusivamente os seus serviços básicos.
Outras práticas a serem adotadas para evitar a infecção são ativar o firewall de rede, ter o antivírus atualizado e manter os updates dos patches do sistema operacional e dos aplicativos. Utilizar filtro de web e antispam também são atitudes indicadas.
A ativação de macros também deve ser evitada, exceto se você souber o que está fazendo. Saiba que esses elementos do Office costumam ser bastante aproveitados pelos ransomwares para infectar o sistema.
Outras dicas são:
- restringir permissões de acesso dos usuários;
- utilizar uma ferramenta de sandbox;
- evitar trabalhar com diferentes programas ao se conectar com perfil administrativo;
- configurar appliances de proxy e gateway para fazer varreduras e bloquear os ataques desse malware;
- bloquear o acesso ao sistema de comunicação anônima Tor, que é usado pelo ransomware;
- manter um backup offsite e longe de todos os computadores para que não seja prejudicado pelo ransomware.
Como você pôde perceber, esse malware é perigoso e precisa ser evitado. Agora que você já sabe como funciona ransomware, que tal aplicar essas ideias? Se gostou deste conteúdo, compartilhe-o nas suas redes sociais e informe outras pessoas sobre esse risco!