RANSOMWARE - QUALIT

O que é?

Ransomware é um software mal intencionado (malware), que é instalado em seu computador sem seu consentimento. Ele bloqueia partes de seu sistema ou pastas, criptografando seus dados e escondendo a chave para que um usuário não consiga decifrá-la ou também bloqueando sua tela com um pop-up, só liberando via pagamento (como se fosse um “sequestro” virtual), que geralmente é cobrado em bitcoin (que é um tipo de moeda virtual gerada por algoritmos, e garantidamente é única, podendo ser transferida de computador para computador ou até mesmo smartphones) ou transferência eletrônica ou até mesmo em sites de pagamento eletrônico. Porém não existe garantia alguma que o sequestrador irá lhe passar a chave para conseguir recuperar seus dados, sendo então uma grande forma de extorsão.

Como funciona?

Os tipos mais comuns de ransomware são “Cryptolocker” e “CTB Locker”, e eles tem características um pouco diferentes no sentido da indisponibilidade.

No caso de um Cryptolocker (ransomware que bloqueia seus dados via criptografia), ele criptografa seus dados usando algoritmos como RSA-1024, RSA-2048 e AES-256 que são difíceis de decifrar, e depois compactam seus arquivos. Logo após, ele exibe uma interface (pop-up) para o usuário mostrando como se “remove” o programa malicioso via pagamento.

Um CTB Locker bloqueia sua tela que está sendo utilizada, e exibe também a interface de como deve ser feito o “resgate”.

Como somos infectados??

Geralmente adquirimos esse tipo de malware via phishing.

Podemos ser infectados tanto clicando em um link de e-mail não confiável, como também acessando sites maliciosos (ou infectados), e também por pen drives que podem se conectar a computadores que estão infectados com esse malware.

Mas o que é phishing?

Phishing é a técnica utilizada por agentes mal intencionados focada em enganar o usuário a fim de roubar informações, ou instalar programas maliciosos. Isso pode ser feito clicando em anexos não confiáveis de e-mail, ou clicando em um link mal intencionado que pode estar em algum website sem segurança apropriada.

Como se livrar?

A Kaspersky Lab desenvolveu uma ferramenta que permite que usuários que tenham sido alvos do ramsomware CoinVault – que sequestra dados do computador e pede resgate – possam recuperar seus arquivos sem precisar pagar os cibercriminosos. O recurso foi desenvolvido em conjunto com a Unidade de Combate a Crimes Tecnológicos da polícia da Holanda e do Escritório Nacional de Promotores.

A ferramenta pode ser baixada de graça (noransom.kaspersky.com). O primeiro passo para usar o programa é abrir a janela do ramsonware que contém as informações de pagamento e copiar o endereço do pagamento em BitCoins. Em seguida, cole estas informações no site e clique “Check”.

O sistema vai gerar dois códigos: uma chave e um número de identificação (IV). Copie e cole estas informações no aplicativo da Kaspersky. Selecione os arquivos que deseja liberar e clique em “Start”.

O CoinVault é diferente de outros malwares porque permite que o usuário veja uma lista de arquivos comprometidos e libere um deles de graça. Segundo a Kaspersky, a variante também possui sistemas de defesa complexos embutidos, como possuir vários executáveis criptografados que se redirecionam entre si, mascarando o código malicioso. Ele também pode detectar quando está sendo ativado em uma máquina criada para estudar malware e conseguir camuflar o código.

A criação da ferramenta foi possível a partir do momento em que a polícia holandesa capturou um servidor do CoinVault que possuía uma lista das chaves usadas. Mesmo assim, ela pode não ser capaz de decodificar todos os códigos do ramsonware, uma vez que as pessoas responsáveis podem introduzir novas variantes conforme necessário e a ferramenta não conseguir destrancá-los.

Como se prevenir?

Atualizando sempre que possível seu anti-virus, pois algumas empresas já conseguem eliminar, ou bloquear, o ransomware do seu computador antes mesmo que ele consiga executar. Atualizar seu sistema e programas sempre que possível, pois alguns ransomware podem se aproveitar de vulnerabilidades desses programas. Tomando cuidado ao acessar sites ou e-mails desconhecidos ou pouco confiáveis, sempre tendo em mente que esse tipo de problema é real, e pode acontecer com qualquer um.

Faça backups (salvar seus arquivos em um dispositivo extra, como HDs externos) frequentemente, o problema pode ser resolvido com mais facilidade, basta ele excluir os arquivos que foram bloqueados e substituir pelos salvos no backup. Pois deve-se lembrar que mesmo com a remoção do malware de seu computador, os dados que foram indisponibilizados por meio da criptografia continuaram sem poder ser acessados, ao menos que você tenha um programa para quebrar essa criptografia (que seria muito mais difícil e demoraria muito tempo para quebrar a criptografia).