Segurança da Informação da UFRJ explica o que é um Ransomware. |
O que é?
Ransomware é um software mal intencionado (malware), que é instalado em seu computador sem seu consentimento. Ele bloqueia partes de seu sistema ou pastas, criptografando seus dados e escondendo a chave para que um usuário não consiga decifrá-la ou também bloqueando sua tela com um pop-up, só liberando via pagamento (como se fosse um “sequestro” virtual), que geralmente é cobrado em bitcoin (que é um tipo de moeda virtual gerada por algoritmos, e garantidamente é única, podendo ser transferida de computador para computador ou até mesmo smartphones) ou transferência eletrônica ou até mesmo em sites de pagamento eletrônico. Porém não existe garantia alguma que o sequestrador irá lhe passar a chave para conseguir recuperar seus dados, sendo então uma grande forma de extorsão.
Como funciona?
Os tipos mais comuns de ransomware são “Cryptolocker” e “CTB Locker”, e eles tem características um pouco diferentes no sentido da indisponibilidade.
No caso de um Cryptolocker (ransomware que bloqueia seus dados via criptografia), ele criptografa seus dados usando algoritmos como RSA-1024, RSA-2048 e AES-256 que são difíceis de decifrar, e depois compactam seus arquivos. Logo após, ele exibe uma interface (pop-up) para o usuário mostrando como se “remove” o programa malicioso via pagamento.
Um CTB Locker bloqueia sua tela que está sendo utilizada, e exibe também a interface de como deve ser feito o “resgate”.
Como somos infectados?
Geralmente adquirimos esse tipo de malware via phishing.
Podemos ser infectados tanto clicando em um link de e-mail não confiável, como também acessando sites maliciosos (ou infectados), e também por pen drives que podem se conectar a computadores que estão infectados com esse malware.
Mas o que é phishing?
Phishing é a técnica utilizada por agentes mal intencionados focada em enganar o usuário a fim de roubar informações, ou instalar programas maliciosos. Isso pode ser feito clicando em anexos não confiáveis de e-mail, ou clicando em um link mal intencionado que pode estar em algum website sem segurança apropriada.
Como prevenir?
Atualizando sempre que possível seu anti-virus, pois algumas empresas já conseguem eliminar, ou bloquear, o ransomware do seu computador antes mesmo que ele consiga executar. Atualizar seu sistema e programas sempre que possível, pois alguns ransomware podem se aproveitar de vulnerabilidades desses programas. Tomando cuidado ao acessar sites ou e-mails desconhecidos ou pouco confiáveis, sempre tendo em mente que esse tipo de problema é real, e pode acontecer com qualquer um.
Faça backups (salvar seus arquivos em um dispositivo extra, como HDs externos) frequentemente, o problema pode ser resolvido com mais facilidade, basta ele excluir os arquivos que foram bloqueados e substituir pelos salvos no backup. Pois deve-se lembrar que mesmo com a remoção do malware de seu computador, os dados que foram indisponibilizados por meio da criptografia continuaram sem poder ser acessados, ao menos que você tenha um programa para quebrar essa criptografia (que seria muito mais difícil e demoraria muito tempo para quebrar a criptografia).
Como remediar o problema?
Uma vez que seu computador é infectado pelo ransomware é mais complicado de resolver o problema, temos a própria solução da Microsoft para aqueles que utilizam Windows que pode ser encontrada em seu próprio site:
Existem também programas anti-malware que podem scanear e remover esse tipo de programa que serão listados no final desse tópico, porém não há garantia de que eles irão remover seu ransomware, pois existem diversos tipos diferentes desse malware, e são criados novos de tempos em tempos. Por isso é importante que os usuários consigam se prevenir em relação a esse problema. Lembrando também que a remoção do vírus não irá decifrar os arquivos que foram criptografados, logo sem um back-up você perderá seus dados.
No caso de sua tela estar travada, reinicie o computador no modo de segurança, e tente usar um desses programas para remover o vírus de seu computador. Você consegue acessar esse modo reiniciando seu computador, e durante a inicialização do sistema pressionar “f8” até que apareça a opção de iniciar usando o modo segurança. Isso é necessário pois ao iniciar o computador dessa forma somente os serviços básicos do Windows são executados.
AntiRansomware Tool for Home Users
AntiRansomware Tool 3.0 with USB for Home Users
Housecall (Free Online Virus and Spyware Scan)
Trend Micro Titanium Internet Security (Advanced Protection for Consumers).