E se de repente visse todo o conteúdo do seu computador encriptado por um terrível Ransomware, de forma a que não conseguisse ter acesso a nada… pagaria o resgate que lhe iriam pedir?
Este cenário é a realidade de milhares ou milhões de pessoas e empresas por este mundo fora, atualmente. A nova velha ameaça do Ransomware está de volta… cuidado, você pode ser a próxima vítima!
Vamos então perceber o que é o Ransomware e uma “vertente” que exerce medo que se chama Scareware. Perceba as diferenças e saiba como atuam e como se pode proteger.
O que é exatamente o Ransomware?
Ransomware é um “nome” que deriva do ato do próprio software, isto é, há um contacto com a hipotética vítima, é lançado o engodo (que pode ser um e-mail a solicitar que clique num link e pode não acontecer nada!!), depois é descarregado um software e, sem que consiga detetar a sua ação, este começa a encriptar tudo o que tem na sua máquina, exceto algumas pastas do sistema operativo.
Lembramos que, ao contrário do que acontecia no passado com os vírus, hoje as ameaças são polifórmicas, altamente mutáveis e, facilmente, os atacantes conseguem controlar o ataque remotamente.
Curiosamente 99% das hashes do malware são vistas apenas por 58 segundos ou menos. Isto reflete o quão rápido os hackers conseguem modificar o código de forma a dificultar a deteção.
No caso do Ransomware, depois de “trabalho” feito, os responsáveis pelos ataques pedem um resgate e até aqui o esquema continua pois estes disponibilizam apoio técnico pago e, em algumas circunstâncias, até fazem descontos.
Atualmente, existem alguns nomes de Ransomware bem conhecidos como é o caso do famoso Cryptolocker, locky, Petya, etc. Vamos conhecer melhor alguns deles.
Ransomware: Cryptolocker – o famoso filecoder!
O modo de atuar é simples. Vamos imaginar que uma variante encriptou os seus documentos e está a exigir que pague um resgate para desbloquear o acesso aos mesmos. Este tipo de ransomware é conhecido como filecoder e um dos mais proeminentes filecoders é o Cryptolocker.
Como é que o meu computador pode ficar infetado por ameaças como o Cryptolocker?
Um método típico de infeção seria a abertura de um anexo de e-mail não solicitado ou o dar um clique numa ligação que fingisse ser de uma instituição bancária ou de uma empresa de entregas.
Já surgiram também versões diferentes do Cryptolocker e que foram distribuídas através de redes de partilha de ficheiros peer-to-peer e que se fizeram passar por chaves de ativação para aplicações tão populares como o Adobe Photoshop e Microsoft Office.
Quando o seu computador fica infetado, o Cryptolocker procura por diversos tipos de ficheiros para encriptar – e assim que o consegue, bloqueia o computador e envia-lhe uma mensagem solicitando a transferência eletrónica de dinheiro para voltar a ter acesso aos ficheiros.
Nalguns casos, o ecrã de bloqueio pode acionar a sua webcam e mostrar a sua imagem para causar mais pânico. Os utilizadores menos experientes podem acreditar que estão a ser observados pelas autoridades.
Ransomware: Petya
O Ransomware Petya usa como isco uma suposta proposta de trabalho, que chega por e-mail, sendo que o utilizador é levado a descarregar um pretenso Curriculum Vitae (que na verdade é o ficheiro malicioso) que está alojado no Dropbox.
Depois do utilizador tentar abrir o ficheiro malicioso, o sistema é de imediato “raptado” ficando bloqueado. Em poucos segundos aparece uma mensagem a referir que o sistema está a verificar possíveis erros no sistema de ficheiros.
Ransomware: Locker Maktub
Esta nova variante de Ransomware começa por captar a atenção da vítima através de um e-mail que, aparentemente, é inocente e confiável. Ao ponto de ter, inclusive, um endereço legítimo.
O assunto, para conseguir a atenção do utilizador, tem de ser ou preocupante ou aliciante, a tática atualmente é ser de aviso, para alertar a vítima, então o truque são os avisos de entidades que emitem alertas de faturas em atraso.
O e-mail geralmente contém um pedido de pagamento da tal fatura em atraso. O que diferencia este Ransomware dos restantes que já conhecemos é que este parece ter uma ideia de onde a vítima vive, pois inclui o seu endereço dentro da mensagem.
O que é o scareware?
O Scareware é um software que tenta assustá-lo de modo a que realize uma determinada ação, atenção que este software apenas quer enganá-lo, fazendo passar-se por ransomware.
Mais especificamente, o scareware pode “mascarar-se” de um produto anti-vírus que alerta para problemas de segurança no computador ou smartphone, numa tentativa de levar o utilizador a instalar uma atualização falsa e, essa sim, poderá ser na realidade malware.
Há casos, em que o anti-vírus é falso e pode apresentar-se com o nome de uma empresa de segurança verdadeira, numa tentativa de parecer mais real.
À semelhança do Ransomware, também o Scareware pode ser escrito para qualquer sistema operativo. Ironicamente, alguns destes softwares falsos conseguem ter interfaces mais atrativas do que produtos legítimos. Numa atitude sinistra algum Scareware pode recorrer a táticas de ransomware para exigir dinheiro.
O que acontece se o meu PC for afetado por Ransomware e eu não pagar?
No caso de muitos ataques Ransomware existe um prazo para o pagamento – e se não pagar a tempo pode perder permanentemente o acesso aos seus ficheiros.
Contudo, há também exemplos de pessoas que pagaram e nunca receberam as ditas chaves para desencriptar. Cuidado que muitos destes ficheiros com Ransomware que vagueiam pela web podem ter anos já e as organizações que estão por trás da sua criação até pode já nem estar no ativo.
O Ransomware que encripta ficheiros é o único tipo de Ransomware?
Não, existe também o Ransomware Lock Screen. Este é um tipo de Ransomware que bloqueia o computador, impedindo-o de fazer qualquer coisa até que seja pago um resgate.
Em muitos casos a mensagem de bloqueio pode fazer-se passar por uma mensagem da polícia, informando-o de que terá de pagar uma multa por causa de imagens de abuso de crianças, zoofilia, ou utilização de sites ilegais, uma vez que foi encontrado software pirata no seu computador.
E as pessoas pagam realmente o resgate?
Sim, em muitos casos, pagam. Imagine que não tem um backup verificado a partir do qual pode restaurar os seus ficheiros mais sensíveis ou os da empresa.
É legítimo pensar que vale a pena gastar algumas centenas de euros para recuperar o acesso aos seus dados. Mais concretamente, quem é um alvo mais apetecível é o utilizador doméstico.
A razão pela qual os utilizadores domésticos são mais vulneráveis prende-se na falta de backups.
As empresas são mais preocupadas em ter backups e sistemas de segurança sempre ativos e atualizados e mesmo que uma máquina seja afetada há uma grande probabilidade de haver um backup recente, de haver um antivírus que não deixe propagar ou que os dados sensíveis estejam por trás de uma estrutura de segurança forte.
No caso dos utilizadores domésticos não é bem assim. Estes facilmente estão menos preparados, são mais descuidados com a questão dos backups e, em grande parte dos casos, estes ficam assustados com as ameaças falsas da polícia e menções a imagens de abuso infantil (as pessoas só com o pensamento de serem acusadas e rotuladas, mesmo sendo obviamente tudo falso… pagam e pagam bem).
Mas há casos de se pagar e haver de novo acesso aos dados?
Há. Na verdade há redes bem organizadas que levam estes esquemas com um rigor “comercial” de tal ordem que depois de receberem o pagamento fazem com que os dados sejam restaurados e por um motivo simples.
Se eles não fossem restaurados e caso esta mensagem se espalhasse, ninguém pagaria o resgate. Mas não se iluda, este pagamento fará de si uma vítima no futuro.
Mas então se eu for vítima de Ransomware, pago ou não o resgate?
NUNCA PAGUE! Lembre-se de que não existe nada que impeça as pessoas que lhe estão a tentar extorquir dinheiro, de não lhe pedirem mais. Se pagar o resgate irá estar a contribuir para a evolução do mercado criminoso.
Então, ao invés, aprenda a lição, obtenha uma melhor proteção e garanta que tem um sistema de backup adequado que lhe permite recuperar os seus ficheiros essenciais, no caso de ser novamente atingido.
É claro que são muitos os utilizadores, que em desespero, acabam por ceder e pagam o resgate.
Mas como me posso proteger?
Há vários comportamentos que tem de rever. O primeiro é logo ter a sua máquina com um bom antivírus, mas não é suficiente até porque a segurança é baseada em assinaturas. (Se o antivírus não reconhecer o ransomware x ou y não vai atuar. Depois, como já foi referido, os atacantes conseguem rapidamente mudar o código do malware.)
Depois nunca esquecer de ter cópias num disco externo e/ou na cloud. Há sempre uma grande probabilidade de se poder repor os ficheiros que estão na cloud sem que estes tenham sido infetados, os próprios sistemas de cloud têm já métodos para salvaguardar alguns casos, mesmo os serviços gratuitos.
A prevenção é a melhor medicina
Os filecoders que encriptam os ficheiros são piores que o malware que bloqueia o ecrã, é verdade, isto porque tornam a recuperação mais difícil, ou nalguns casos impossível, a menos que possua uma cópia de segurança.
Os Ransomware filecoder estão a surgir com maior frequência?
O ano de 2016 está a tornar-se no ano-chave deste malware. Cada vez é mais frequente e tem sido descoberto a toda a hora pelos investigadores.
Que sistemas operativos já foram atacados por ataques Ransomware?
Não existe nada que impeça os criminosos de desenvolverem Ransomware para qualquer plataforma – embora atualmente a maioria dos ataques atinjam os utilizadores Windows. O Cryptolocker, por exemplo, apenas foi visto na plataforma Windows.
Fonte: pplware
