O Ransomware é um Tipo de software malicioso que bloqueia o acesso ou restringe a um sistema ou aplicação, fazendo de refém a normalização do acesso e cobrando um resgate que geralmente é cobrado em criptomoedas para a liberação do uso.
Devido a pandemia um número maior de ataques por Ransomware tem acontecido e está associado ao fato das empresas terem aderido ao trabalho remoto, e a falta de estrutura domiciliar de alguns colaboradores tem facilitado a infecção.
Caso o usuário infectado não ceda à chantagem pode ter seus arquivos deletados, acesso bloqueado, vazamento de dados entre outras ações orquestradas por um hacker.
Na grande maioria das vezes esse tipo de ataque começa através de um e-mail contendo um malware anexado ou link para um site malicioso ou através de sites de anúncios que abrem pop-up dizendo que ele foi infectado e que para desinfetar o computador do usuário é direcionado por um outro site fornecido através de um link contendo um malware.
Depois de infectado o usuário logo descobre que foi invadido por um malware que tem a capacidade de criptografar todos os seus dados no seu HD tornando o seu acesso impossível ou até mesmo criando um novo registro Master boot para o seu drive.
Não demora muito o usuário infectado receber uma mensagem exigindo o pagamento que geralmente é em bitcoins para que seu sistema seja restabelecido através de uma chave criptografada.
Como funciona o ransomware
O funcionamento do ransomware pode ser diferente de acordo com a variante usada pelo hacker e pela família do malware.
As principais variantes, famílias e vetores de infecção do ransomware são:
Criptográfico: Criptografar o HD da vítima solicitando um pagamento para fornecer a chave criptografada que tem a capacidade de descriptografar ou HD possibilitando que a vítima tenha acesso novamente aos seus arquivos.
Lock-screen: Esse tipo de malware trava o funcionamento da máquina exigindo do usuário um pagamento. na grande maioria das vezes o hacker tenta se passar por algum órgão governamental e faz o usuário entender que o pagamento trata-se de uma multa.
Scareware: Técnica utilizada para enganar o usuário ou fazendo acreditar que está com problemas ou até mesmo vírus e que para solucionar será necessário realizar um pagamento.
Apesar de classificar as três principais variantes de ataque ransomware, existem dentro destes grupos os chamados vetores, os mais conhecidos são:
Cerber: O ransomware Cerber se propaga através de e-mails de spam, infectando o usuário com um arquivo de extensão “.cerber (.beef)”, encripta vários ficheiros (.jpg, .doc, .raw, .avi etc.) deixando inacessível o acesso aos arquivos e indica o usuário um pagamento de resgate dentro de 7 dias.
Cryptolocker: Usa técnicas de engenharia social para persuadir o usuário a fazer download do malware. Quando o usuário abre o arquivo malicioso, o ransomware gera uma série de chaves de criptografia.
Cryptowall: Quando se instala na máquina, a ameaça comprime um código binário com uma série de instruções que dão a ele a capacidade de burlar o antivírus e criptografar os arquivos.
Jigsaw: O nome faz referência ao personagem da franquia Jogos Mortais. A ameaça deleta arquivos de hora em hora para pressionar a vítima a pagar o resgate o mais rápido possível.
Locky: O ransomware, que se espalha por meio de campanhas de spam e sites comprometidos, adiciona a extensão “.locky” aos arquivos criptografados.
Petya: Essa variante de ransomware, que se espalha por meio de um link do Dropbox, é capaz de criptografar um HD inteiro de uma só vez. Profissionais de RH são seu principal alvo.
Wanna Cry: Os ataques WanaCrypt0r iniciam seu ciclo a uma organização através de um ataque de phishing via e-mail que inclui um link ou documento PDF malicioso.
O ataque de phishing, obtendo sucesso, resulta na entrega do ransomware WanaCrypt0r na máquina local e consequente tentativa de espalhar-se em larga escala na rede utilizando protocolo SMB, atacando a vulnerabilidade ‘Eternal Blue’ (CVE-2017-0144) em sistemas operacionais Windows e que foi corrigida pela Microsoft em março de 2017 com o patch MS17-010.
As estratégias de infecção utilizadas por hackers são várias, contudo, é importante salientar que na grande maioria das vezes é possível evitar um ataque tomando cuidados básicos de utilização e atualização, ferramentas como antivírus e banco de senhas com autenticação em dois fatores ajudam exponencialmente.
Principais erros do usuário que possibilitam uma invasão
Destacamos os principais comportamentos de usuários que possibilitam uma invasão por ransomware:
- Abrir e-mails sem confirmar o destinatário;
- Acessar sites maliciosos;
- Clicar em pop-up;
- Não ter um antivírus;
- Não atualizar a versão do sistema operacional;
- Utilizar senhas fáceis como data de aniversário;
- Fazer download de programas fora do site do fabricante;
- Usar software pirata;
Na grande maioria das vezes o comportamento do usuário é o fator de sucesso para uma infecção, contudo, o que fazer em caso de infecção?
Como remover um ransomware?
O processo de remoção de um ransomware pode ser complexo e exigir horas de trabalho bem como ferramentas profissionais, o que na maioria das vezes pode ser impossível para um usuário comum. Nestes casos é importante realizar as seguintes ações:
- Isole o dispositivo infectado para evitar que o vírus se espalhe;
- Tente descobrir a variante a qual o ransomware pertence, isso vai ajudar na remoção do malware;
- Informe as autoridades sobre a infecção;
- Pesquise sobre ferramentas de desencriptação de ransomware, existem algumas no mercado e podem ajudar no processo de remoção;
- Restaure seus arquivos utilizando ferramentas de recuperação de dados;
- Certifique-se que seu dispositivo não tem cópias de segurança de dados, um backup nessas horas ajuda muito;
- Busque ajuda profissional caso não tenha conhecimentos técnicos suficiente para lidar com o problema;
- Não entre em desespero ou ceda a pagamento de resgate, este tipo de comportamento financia ações de hackers.
O principal é sempre manter a calma, e buscar orientação técnica para lidar com o problema, e pensando nisso o time de especialistas da Online Data Cloud preparou um material completo e técnico que vai te ajudar neste processo de remoção, mas lembre-se caso seja complexo para você sempre pode contar com os serviços de pessoal especializado, que além de ajudar a remover o vírus, vai poder lhe orientar com as melhores práticas do mercado.Acesse aqui o nosso artigo completo sobre Como remover um ransomware?