Ransomware é um tipo de malware que após infectar o sistema, cobra um determinado preço pelo resgate dos arquivos infectados. Sem dúvida, uma grande dor de cabeça para quem não está protegido contra essa ameaça.
Alguns tipos de ransomwares criptografam os arquivos impossibilitando sua abertura de forma simples. Já outros, apenas travam o sistema, exibindo uma mensagem na tela de como pagar o resgate, que pode variar entre U$ 100 até U$1000 dólares. O único método para recuperar os arquivos é através da chave privada, que infelizmente é mantida nos servidores dos criminosos, e só é fornecida com o pagamento. Mesmo a vítima realizando o pagamento, não há garantias do resgate e a conscientização é fundamental, pois ainda não há ferramentas de descriptografia disponíveis para todos os tipos de Ransomware existentes.
O número de vítimas está crescendo: segundo a Kaspersky Lab, a quantidade de usuários atacados por ransomware de criptografia aumentou de 131 mil em 2014-2015 para 718 mil em 2015-2016.
Como exemplo, podemos citar o Ransomware CryptoWall, o vírus que criptografa arquivos que foi descoberto em 2014 e até hoje continua infectando sistemas em todo o mundo, levando prejuízos financeiros e psicológicos para as pessoas, principalmente ligadas no ramo empresarial.
O mercado negro de ransomware tem se mostrado muito lucrativo, como apontam diversas empresas de segurança. O primeiro vírus que criptografa arquivos conhecido foi o Dirty Decrypt, após ele veio o CryptoLocker, PowerLocker, Citroni, CryptoWall, CryptoWall 2, CryptoWall 3, Torrent Locker, Cryptographic Locker e recentemente o TeslaCrypt que utiliza criptografia simétrica RSA-2048 para criptografar os arquivos.
Vamos conhecer sobre alguns exemplos de Ransomware, o vírus que criptografa arquivos.
Ransomware Reveton
Em 2012, foi descoberto o Ransomware conhecido como Reveton, e começou a se espalhar rapidamente. Quando o sistema é infectado, é exibido um aviso supostamente vindo de uma agência de segurança, alegando que o computador tem sido usado para atividades ilegais, como o download de software pirata. O aviso informa ao usuário que para desbloquear o sistema é necessário pagar uma multa utilizando um serviço como Ukash ou paysafecard.
Para reforçar que o aviso é verdadeiro, é exibido na tela do computador o endereço IP além da imagem da webcam, dando a sensação de que realmente o computador está sendo vigiado por alguém.
Ransomware CryptoLocker
Uma nova versão do vírus que criptografa arquivos reapareceu em setembro de 2013, como um trojan chamado CryptoLocker, e que agora gerava uma chave de criptografia de 2048 bits RSA enviadas através de um servidor usado para criptografar os arquivos.
Esse vírus que criptografa arquivos exibe uma mensagem dizendo que irá excluir a chave privada se um pagamento de Bitcoin não for realizado dentro de 3 dias após a infecção.
Devido a complexidade e o tamanho da Chave de criptografia que usa, os analistas e os afetados pelo Ransomware Cryptolocker o consideram extremamente difícil de reparar. Estima-se que, pelo menos U$ 3 milhões foram extorquidos com o malware.
Em setembro de 2014, surgiu uma nova onda de trojans ransomware, sendo o primeiro alvo na Austrália. Nomeados CryptoWall e CryptoLocker (como um CryptoLocker 2.0, sem relação com o CryptoLocker original).
Os trojans se espalhavam através de e-mails fraudulentos com mensagens sobre falhas de encomenda.
A Symantec informou que estas novas variantes, que foram identificadas como CryptoLocker.F, não tem relação com o CryptoLocker original devido as diferenças nas suas operações.
Outro trojan criado nesta época foi o Ransomware Torrent Locker, que também usa a mesma keystream para cada computador infectado, tornando a criptografia difícil de ser quebrada.
No final de 2014, foi estimado que mais de 9.000 usuários tinham sido infectados pelo Torrent Locker.
Como remover o Ransomware?
Tal como em outras formas de softwares maliciosos, os anti-vírus podem não detectar uma instalação do Ransomware, especialmente os mais recentes.
Se um ataque é detectado em seu estágio inicial, vai levar um tempo para a criptografia ocorrer, e com a remoção imediata do Ransomware os danos serão menores.
Você deve ter uma preocupação especial ao lidar com os Ransomwares, utilizando um bom anti-vírus com outras políticas de segurança te ajudarão a prevenir, mas não protege contra todos os ataques. Mantenha uma cópia de segurança dos dados armazenados em locais protegidos, pois os malwares podem criptografar um Backup que esteja armazenado em um HD USB ou servidor de backup.
Dependendo do Ransomware e se o sistema operacional estiver funcionando, você pode tentar realizar uma restauração da copia de sombra de arquivos ou fazer uma recuperação de arquivos utilizado um sistema tipo o Data Recovery.
Geralmente, o Ransomware exclui o arquivo original e cria um novo criptografado. A ideia aqui e recuperar os arquivos que foram excluídos pelo Ransomware.
Enquanto algumas ameaças e ataques de Ransomware não podem ser totalmente eliminadas, o uso da estratégia de segurança em camadas é a melhor possível.
Recentemente a Kaspersky juntamente com outras empresas de segurança conseguiram recuperar algumas chaves de criptografia do Ransomware CoinVault nos servidores dos criminosos, e disponibilizou as ferramentas necessárias para você tentar recuperar os seus arquivos criptografados.
Acesse o site marcoandrade.com.br para maiores informações sobre essa ameaça.
Bom, no momento só tenho essas informações para te auxiliar na proteção, e aguardamos novas ferramentas que possam recuperar os arquivos criptografados!
Até a próxima!
Marco Andrade
Profissional de TI
