Os Ransomwares

Dezembro 2016

Os Ransomwares são ameaças informáticas que buscam tirar dinheiro da vítima. É uma forma de raquete digital para roubar documentos ou ter acesso ao computador para obter um resgate.


Existem dois tipos de Ransomware:
Os Ransomwares Winlock: que impedem o acesso ao Windows e pedem um resgate em linguagem comum, são vírus “policiais” porque se fazem passar por autoridades para receber uma multa imaginária. Em geral, o pagamento é feito com o Ukash ou o Paysafecard, daí o nome de “vírus Ukash”.
Cripto-Ransomware: eles sequestram seus documentos criptografando-os (criptografar em linguagem comum), podendo alterar a extensão dos documentos (ex: .MP3 locked ou .locky) e, em seguida, aparece uma mensagem com as instruções de pagamento. Muitas vezes, o pagamento é feito em Bitcoin através de um site na rede TOR.

Os Cripto-Ransomwares

Os Ransomwares Winlock cresceram no final de 2010 até 2014, com um pico em 2011, 2012 e, depois disso, foram desaparecendo gradualmente. Os Cripto-Ransomwares apareceram naturalmente em 2014, com um ataque maciço no final de 2015 e 2016.


Quando o computador é infectado, estes ransomwares criptografam todos os documentos dos discos locais, criptografam todos os documentos dos discos removíveis, se inseridos (pendrive, disco rígido externo, etc) e tentam criptografar todos os documentos dos recursos de rede (leitor de rede, UNC etc.) e, é por isso que nas empresas, a partir do dispositivo de um cliente, só uma parte dos documentos do servidor de arquivos é afetada.

Como os Cripto-Ransomwares são distribuídos

Os Cripto-Ransomwares usam dois métodos para serem distribuídos em grande escala. São os mesmos métodos usados pelas infecções tradicionais, principalmente os Trojans. O primeiro método se refere às campanhas de e-mail maliciosos, com anexos em formato Word ou JavaScript. No caso do JavaScript, recomenda-se a desativação do Windows Script Hosting. O segundo método se refere aos Web Exploits projetados para infectar um computador, se aproveitando dos softwares desatualizados (principalmente os plugins do navegador web), eles afetam mais os usuários do Internet Explorer. Para não ficar vulnerável, a única solução é manter seus softwares atualizados.


Também podemos distinguir outras variantes desses softwares que visam, mais especificamente, as empresas, através de ataques bruteforce RDP )Força bruta). Depois de dominar o servidor, o atacante desativa o antivírus, criptografa os documentos e deixa as instruções de pagamento. Duas grandes campanhas de ransomwares utilizaram este tipo de ataque OMG Ransomware e Crysis Ransomware. As campanhas de e-mails maliciosos continuam a ser utilizadas com anexos ZIP contendo um arquivo JavaScript (Trojan.JS). Se, por um lado, as campanhas que destacam o TeslaCrypt são em inglês e imitam serviços falsos, tais como o Invoice ou o FedEx, por outro, as do Ransomware Locky retomam os e-mails em português como falsos pedidos, falsas faturas ou se passando pelo Free Mobile. Logo, fiquem bem atentos!

Infecção por um Cripto-Ransomware

Nós recomendamos que desliguem todos os dispositivos móveis e desinfetem seu computador com, por exemplo, o Malwarebytes Anti-Malware. Normalmente, a recuperação dos documentos criptografados (codificados) é impossível, porém, você pode tentar a recuperação usando imagens instantâneas que, em geral, são excluídas pelos os Ransomwares. Assim sendo, tente recuperar os arquivos com a ajuda de softwares como o Recuva ou o PhotoRec. Consulte esta dica Como recuperar arquivos apagados acidentalmente. Se você tiver cópias de segurança (backups), você pode substituí-los, porém, certifique-se antes de que o computador foi desinfetado completamente.

Conclusão

Como você deve ter percebido, os ransomwares são muito espertos e podem causar danos significativos, por isso é fundamental fazer cópias de segurança de documentos importantes. Tome cuidado na net e proteja seu computador lendo a dica Protegendo o seu PC. Quanto aos e-mails maliciosos Trojan.JS, uma boa prática é desativar o Windows Script Host.

Saiba mais

Stop Ransomware (em inglês)
Ransomware, conheça o invasor que sequestra o computador
Ransomware

Foto: 8vfanrf / 123RF Banco de imagens

Veja também

Artigo original publicado por . Tradução feita por pintuda. Última modificação: 8 de março de 2016 às 06:26 por ninha25.
Este documento, intitulado 'Os Ransomwares', está disponível sob a licença Creative Commons. Você pode copiar e/ou modificar o conteúdo desta página com base nas condições estipuladas pela licença. Não se esqueça de creditar o CCM (br.ccm.net) ao utilizar este artigo.