O mundo dos computadores tem sempre uma luta entre o bem e o mal. Enquanto as forças boas tentam manter os crackers e os malwares à distância, as forças ruins sempre surgem com algo mais evocador do que antes, algo mais impossível de ser parado e mais difícil de quebrar. O ransomware é um tipo especial de malware, mas, ao contrário de outros malwares que simplesmente agem como ladrões para roubar seus dados ou dacoits que excluem seus dados, esse malware é inteligente. Ele age como um seqüestrador, e mantém seu sistema sequestrado, até que você pague um resgate, algum dinheiro, para liberar seu sistema de volta.
O que é o Ransomware?
Ransomware é um tipo de malware inteligente, mas ao contrário de outros malwares que apenas corrompem, excluem arquivos ou fazem algum outro comportamento suspeito, esse malware bloqueia seu sistema, arquivos e aplicativos e exige dinheiro de você, se você quiser recuperá-los. Eu disse inteligente porque esse malware ajuda diretamente o invasor a ganhar dinheiro. Outros tipos de malwares, como vírus, cavalos de tróia, etc, simplesmente corrompem o sistema ou roubam alguns dados confidenciais, mas raramente resultam em algum benefício monetário para o invasor (a menos que o malware roube algumas informações confidenciais, como números de cartão de crédito, etc.).
A origem do ransomware
Inicialmente, o ransomware era amplamente popular na Rússia, infectando milhares de sistemas de computadores e se espalhando como um incêndio. Esses tipos de malware são mais difíceis de detectar, pois podem vir como inofensivos pequenos programas anexados ao software disponíveis gratuitamente através das interwebs. A maioria deles pode entrar no seu sistema através de arquivos de sistema já infectado, anexos de e-mail ou de malware já existente.
Depois que o ransomware encontra seu host, ele começa a atacar bloqueando o acesso do usuário a arquivos, pastas, configurações do sistema ou aplicativos. Ao tentar abrir esses arquivos e programas, o usuário recebe a mensagem de que eles foram bloqueados e não podem ser abertos a menos que o usuário concorde em pagar uma quantia. Normalmente, há também uma maneira de contatar os invasores que podem estar sentados em alguma outra parte do mundo, assumindo diretamente o controle do seu sistema.
Tipos de Ransomware
Ransomwares normalmente são classificados em dois tipos, ransomware de criptografia e ransomware não criptografado.
Os ransomwares com criptografia são aqueles que criptografam os arquivos, programas, etc. de seu sistema e exigem um resgate para criptografá-los. Normalmente, a criptografia é feita usando um algoritmo hash forte que pode levar vários milhares de anos para que um PC normal o quebre. Assim, a única maneira de o usuário recuperar seus arquivos é fornecer o valor do resgate e obter a chave de desbloqueio. Este é o ransomware mais prejudicial pelo seu mecanismo de ataque.
Outro tipo de ransomware é o não-criptografado. Este não criptografa seus arquivos, mas bloqueia o acesso a eles e mostra mensagens irritantes quando você tenta acessá-los. Este é um ransomware menos prejudicial e o usuário pode facilmente se livrar deles fazendo backup de arquivos importantes e instalando o sistema operacional novamente.
Exemplos de ataques de ransomware
Um dos ransomwares recentes que causaram mais danos foi em 2013, é conhecido como CryptoLocker. O cérebro por trás deste malware era um hacker russo chamado Evgeniy Bogache. O malware, quando injetado em um sistema host, verifica o disco rígido da vítima e direciona as extensões de arquivo específicas e as criptografa. Estes podem ser arquivos ou programas importantes que o usuário realmente precisa, como documentos, programas ou chaves. A criptografia é feita usando um par de chaves RSA de 2048 bits, com a chave privada carregada no servidor de comando e controle. Os programas, então, ameaçam o usuário de excluir a chave privada, a menos que um pagamento em forma de bitcoins seja feito dentro de três dias.
Uma chave RSA 2048 é, na verdade, uma grande proteção, e levará um computador de mesa normal vários milhares de anos para quebrar a chave usando força bruta. O usuário, indefeso, concorda em pagar o valor para recuperar os arquivos.
Estima-se que este CryptoLocker Ransomware adquiriu pelo menos US $ 3 milhões antes de ser desligado.
Embora isso seja muito dinheiro, outro ransomware com o nome de WinLock conseguiu obter US $ 16 milhões em resgate. Apesar de não criptografar o sistema como o CryptoLocker, o que ele fez foi restringir o acesso do aplicativo ao usuário e mostrar imagens pornográficas. O usuário foi então forçado a enviar um SMS com tarifa premium, custando cerca de US $ 10 para obter um código para desbloquear o ransomware.
Todos esses ataques foram em 2013.
No entanto, o ataque mais recente foi por uma forma atualizada de ransomware, chamada CryptoWall 2.0 . De acordo com uma reportagem do New York Times, esse ransomware atacou os PCs de maneira semelhante ao CryptoLocker, e atacou arquivos especialmente importantes no sistema da vítima, como recibos de impostos, contas etc. Em seguida, exigiu um resgate de US $ 500. O preço do resgate dobrou após uma semana e, uma semana depois, a chave de desbloqueio foi excluída.
Recentemente, de acordo com alguns relatórios, o CryptoWall foi atualizado para a versão 3.0 e, aparentemente, tornou-se mais perigoso do que nunca. Esta versão do CryptoWall criptografa os arquivos do usuário por um sistema de varredura inteligente e, em seguida, gera um link exclusivo para o usuário. Como uma proteção para preservar o anonimato dos atacantes e dificultar as agências governamentais para prendê-los, este ransomware não está apenas usando o Tor, mas também o I2P, o que torna muito difícil rastreá-los.
Embora isso possa soar irônico, a CrytoWall tem um ótimo atendimento ao cliente. Como eles têm que manter a reputação de ganhar mais e mais dinheiro, eles fornecem chaves de descriptografia para o usuário o mais rápido possível, muitas vezes dentro de horas após o pagamento do resgate.
Outro incidente grave de ransomware aconteceu quando um estudante autista se enforcou depois de receber um e-mail de ransomware.
De acordo com este relatório, o adolescente recebeu um e-mail falso da polícia dizendo que ele foi flagrado navegando em sites ilegais e precisou pagar cem libras ou ser processado. O adolescente entrou em pânico e enforcou-se, incapaz de enfrentar a tragédia.
Enquanto esses tipos de e-mails são comuns, é preciso ter certeza de que não se deve confiar neles, não importa o quanto eles sejam oficiais. Muitas vezes, eles levam o usuário a sites de phishing, onde o invasor fica preso às contas bancárias dos usuários e a outras senhas importantes. A regra do polegar é agências bancárias e agências de aplicação da lei nunca pedirão credenciais privadas ou pagamentos via Internet. Então, se você receber esses e-mails, há uma boa chance de que eles sejam falsos. Você sempre pode ligar para obter o seu número oficial para saber se eles realmente lhe deram tal aviso.
O ransomware é uma boa aposta para os chapéus pretos, porque geralmente há muito dinheiro que pode ser obtido apenas com a criação de pequenos programas que bloqueiam ou criptografam seu sistema de alguma forma. Embora seja mais popular na plataforma Windows, alguns sistemas operacionais, como o OS X, também são afetados pelo ransomware, como um em julho de 2013 que bloqueou o navegador do usuário e o acusou de baixar pornografia.
Vários relatórios sugerem que os ataques de ransomware estão aumentando dia a dia. Eles são principalmente distribuídos por e-mails de spam, geralmente como anexos. Os usuários da Internet realmente precisam ter cuidado ao navegar em sites não oficiais e abrir esses e-mails.
Por que é difícil pegar hackers Ransomware?
A maior parte do ransomware é originária de países pós-soviéticos como a Rússia. Enquanto essas pessoas exigem resgate, o pagamento é em forma de bitcoins, uma moeda criptografada descentralizada conhecida por seu anonimato e que não deixa vestígios. Além disso, os hackers sendo de origem estrangeira, diplomaticamente é difícil convencer os governos estrangeiros a tomar medidas sobre eles.
Como nos protegemos contra o Ransomware?
Como diz o velho ditado, é melhor prevenir do que remediar. Então, como alguém se protege do ransomware?
Bem, a maneira mais fácil seria ter um antivírus ou anti-malware instalado no sistema e mantê-lo sempre atualizado. Enquanto os antivírus gratuitos são muito bons, não se deve hesitar em obter um para melhor proteção. Além disso, certifique-se de não baixar programas suspeitos da Internet. Durante o download de programas, sempre faça o download nos sites oficiais e não nos sites de terceiros que não sejam fidedignos. E lembre-se sempre, mantenha um backup de todos os arquivos importantes. Com isso pode configurá-lo e esquecê-lo programas de backup disponíveis, é realmente fácil e sem complicações para ter um programa de backup. Você também pode carregar ou sincronizar os arquivos no Google Drive / Dropbox, etc., para que não apenas você tenha um backup, mas também possa acessar esses arquivos independentemente de onde estiver.
Lembre-se, um ponto no tempo, salva nove. Melhor prevenir do que remediar.
Como remover o malware Ransomware?
Anteriormente, a única maneira de se livrar do malware de ransomware criptografado era pagar os invasores ou aceitar que os arquivos foram perdidos para sempre. No entanto, atualmente, alguns pesquisadores de segurança de computadores criaram programas que permitirão aos usuários criptografar seus arquivos de discos rígidos sem pagar um resgate. Como este site, ele permite que os usuários façam upload de um arquivo criptografado não confidencial em seu site e insiram um endereço de e-mail. Após a decodificação bem-sucedida, o site enviará a chave privada por e-mail junto com instruções sobre como remover o criptocomputador do disco rígido.
O programa foi desenvolvido pela FireEye e FoxIT, e usou métodos de engenharia reversa para quebrar o CryptoLocker. Como a regra segue, cada coisa criptografada pode ser descriptografada, leva tempo. Parece que as boas forças da ciência da computação não estão perdendo afinal.
