PplWare Mobile

O “desespero” das vítimas de Ransomware


Pedro Pinto é Administrador do site. É licenciado em Engenharia Informática pelo Instituto Politécnico da Guarda (IPG) e obteve o grau de Mestre em Computação Móvel pela mesma Instituição. É administrador de sistemas no Centro de Informática do IPG, docente na área da tecnologia e responsável pela Academia Cisco do IPG.

Destaques PPLWARE

  1. Luis Braz says:

    Cryptoprevent, previne esses e outros, tipo o da PSP.

    • Jorge Azevedo says:

      Além do Cryptoprevent acrescentava o HitmanPro.Alert (http://www.surfright.nl/en/alert) no qual encontramos uma funcionalidade muito interessante que monitoriza alterações massivas de ficheiros em tempo real e outras complementares.

      • Spike says:

        Ainda nao o testei mas tem tido altas reviews, parece ser uma maneira ate mais eficaz que a feita pelo Cryptoprevent

        PPLWare que tal testarem ambos os programas e fazerem um artigo sobre isto e ajudar as pessoas a protegerem-se?

    • Spike says:

      infelizmente devido ao nome do endereço do Cryptoprevent as pessoas pensam que é treta e nem pesquisam o que faz e as reviews que tem

  2. Xico Bandito says:

    A forma preventiva de lidar com tal tipo de ameaça passa forçosamente pela sensibilização dos utilizadores de não abrirem código não fidedigno. Como sabemos que tal é inglório, e após o ataque dos meleniante a forma mais eficiente de lidar com o T

    • Xico Bandito says:

      A forma preventiva de lidar com tal tipo de ameaça passa forçosamente pela sensibilização dos utilizadores de não abrirem código não fidedigno.
      Como sabemos o quanto tal é inglório, e após o ataque dos meliantes a forma mais eficiente de lidar com o ataque é ter cópias de segurança atuais. Nesse sentido a solução passa pela adoção de ferramentas de cópia de segurança, algumas gratuitas, e que já foram alvo de artigos aqui no pplware. Para ambiente empresariais de pequena escala a minha escolha recaí no backuppc – http://backuppc.sourceforge.net/.
      Provavelmente esta será a forma mais eficiente de lidar com ataques de ransomware dos quais esperemos que nunca sejam vítimas. Caso o sejam, rezem para que as vossas cópias de segurança estejam em dia.
      Boa sorte a todos.

  3. Mikes says:

    Se o backup estiver numa cloud (p.ex., ondrive), também é afectado?
    Ou se estiver alojado numa NAS?

    • Xico Bandito says:

      Se o posto infetado tiver acesso a tais recursos… A resposta é: SIM.

    • Pedro C. says:

      As clouds são afectadas se tiveres tipo uma pasta ligada ao pc como a dropbox, a vantagem desta é que podes ir buscar a versão anterior do ficheiro, isto porque a dropbox tem esse sistema, mas não existe em todas as clouds.
      Tudo o que tiver ligado ao pc será encriptado, o ideal é ter a sincronização automática de ficheiros desligada e realizar backups com frequencia mantendo o disco externo sempre que possível desligado da máquina.

      • Neopunk says:

        O Onedrive tem a funcionalidade de guardar as várias versões dos documentos e permite fazer restore ou download de cada versão. 😉

    • W10 Incoming says:

      Publicidade à parte quando entras na tua conta da meocloud tens lá um botão enorme para “efetuar recuperação”, escolhes uma data anterior ao malware e está resolvido.

    • EmanuelP says:

      Aqui na empresa já houveram dois PCs infectados com o CTB Locker, e os PCs tinham várias pastas de outros computadores, no desktop, e nenhum dos ficheiros destas pastas ficou encriptado. O ramsomware “apenas” encriptou os ficheiros do PC infectado.

      • Rafael says:

        Depende do ramsomware… As ultimas variantes encriptavam os ficheiros “apenas” no PC, mas outras até mapeamentos de rede encriptavam.

  4. paulo says:

    qual o melhor antivirus com firewal que posso comprar para me proteger destas ameças mais recentes da internet ? penso em avira, eset e kaspersky mas tenho duvidas sobre qual o mais fiavel

    • W10 Incoming says:

      Se for para comprar o kaspersky é o melhor, nem sequer procures mais.
      Se não quiseres gastar dinheiro existem muitas hipóteses, o pplware já fez muitas noticias sobre isso recentemente.

    • Diogo says:

      Nenhum antivírus bate o bom senso. Quem trabalha com computadores à muito tempo, já quase adivinha quando algo não está a bater certo.

      Eu uso o Essentials e à vários anos que não tenho problemas.

      Se não houver cuidado, não há antivirus nenhum que valha. Vejo nos tablets de primos meus (novinhos) a quantidade de vírus que aquilo apanha. Instalam todas as apps que vêm na store…

    • Pedro C. says:

      Kaspersky é bom, mas não previne tudo, os backups são a única forma de garantires que não perdes nada. Muito do ransomware é indetectável pela maioria dos antivírus e mesmo que detecte pode já ser tarde de mais.

  5. Andre Tiago says:

    Sou técnico informático e já tive clientes com estes problemas isto é desesperante é muito dificil recuperar este tipo de informaçao um ficheiro ou outro ainda se consegue recuperar agora a informaçao toda é muito impossivel hoje em dia o utilizador normal tem que ter algum cuidado ao abrir os anexos dos emails e ter cuidado com aqueles softwares para descarregar musicas / para editar as fotos e etc hoje em dia a internet esta poluída e temos que saber fazer a separaçao do lixo.

  6. irlm says:

    exemplo como proteger deste tipo de malware com Ublock Origin:
    Testem e comprovem.

    uBlock₀ has prevented the following page from loading:

    http://sdaexpress24.net/ricerca.php?id=1047404946

  7. Luna says:

    Sejam inteligentes e pensem duas vezes sobre de quem estão a receber emails e porque é que estão a pedir que os leiam ou abram ficheiros. E acima de tudo: Se a sorte parece ser boa demais para ser verdade, provavelmente não é verdade. Usar a cabeça e pensar duas vezes antes de agir é melhor que qualquer antivirus ou antimalware que possa existir.

    • Rafael says:

      Concordo!
      Nas primeiras vezes que apanhamos isso na instituição onde trabalho, alertamos todos os utilizadores para não abrirem nada suspeito, bláblá, bláblá,…
      Uns dias depois, outro utilizador tem os ficheiros encriptados e o alerta dele foi algo do genero: “Tenho o computador esquisito, acho que aconteceu aquilo que vocês disseram que ia acontecer.”!!!! WTF, agora o informáticos também são bruxos ou videntes?! 😀

  8. J Pedro says:

    Sei que perdem os dados mas afecta o sitema de recuperação que vem com o pc ?

    • Pedro C. says:

      Sim, vai tudo ao charco, podes tentar efectuar restauro as vezes que quiseres não muda nada. Potencialmente a solução seria a shadow copy mas nem sempre resulta, o que é garantido são os backups que possas fazer.

      • Mikes says:

        Mas é possível formatar o disco?

        • fibonacci says:

          Sim, formatar é sempre possível, recuperando o uso do computador, perdendo todos os dados que tinha obviamente

        • Rafael says:

          Sim, podes formatar e instalar tudo de novo.
          Quanto aos processos de “reposição de fábrica” através de partição de recuperação não te sei informar… Se houver alguém, que elucide.

          • Mikes says:

            Obrigado a todos!
            Ainda não tive o problema, mas como estou em fase de tentar optimizar os sistemas de backups lá de casa de todos os equipamentos, queria perceber melhor até onde tenho de ir para que os backups sejam realmente uma solução válida para estes casos e não uma perca de tempo nos processos .
            Mas ainda tenho de pesquisar mais sobre o Ransomware porque me parece que poderá ser uma ameça em crescendo – já que quem ataca tira benefícios imediatos do ataque.

        • Pedro C. says:

          Sim podes formatar a máquina ou até voltar a repor o sistema como na origem, mas isso significa que irás perder todos os dados até então. Nada impede que no futuro não haja uma chave que permita desencriptar os ficheiros como aconteceu recentemente, no entanto convém não depositar demasiada fé nisso.

          • Mikes says:

            Sim, perco tudo e por isso quero otimizar os backups lá de casa.
            Mas entre pagar 500€ a uns palhaços ou perder tudo que está na máquina (que tenha backup), prefiro passar horas a montar o disco de novo.

  9. Hélder says:

    Só acontece a quem não toma cuidados…

    • Mikes says:

      Estes comentários são engraçados…
      Em casa tenho diversos equipamentos, meu, da mulher e dos filhos.
      Eu tenho alguma noção do perigo de abrir ficheiros de emails esquisitos, mas sei que a minha mulher tem menos essa noção, e os meu putos muito menos.
      O meu pai tem computador, achas que um pessoa que não cresceu neste mundo tem a mesma noção que tu?
      Não se pode acusar as pessoas de ignorantes só porque sim.
      Cabe a quem conhece um pouco mais ajudar quem não conhece e não acusá-los de ignorância.

  10. paulo g. says:

    Isso só ataca utilizadores windows?

  11. knom says:

    voces sabem que existe uma nossa versão super recente e com uma nova técnica de encriptação certo?

  12. Nuno says:

    Como se apanha é isto? Ha uns dias a ver o benfica na net aparecer me algo do genero mas Bastou matar o processor do chrome e abrir novamente e pronto..

    • Krasy says:

      isso k te apareceu foi um popup lol

    • Pedro C. says:

      Executando um ficheiro que vem por norma nos emails zipado e disfarçado como sendo de um contacto nosso ou de típicos emails de fornecedores de serviços. Também pode ocorrer por executar um ficheiro que se obtém em sites de pirataria.

  13. silva says:

    Depois acham caro pagar um antivírus. Os grátis não servem, porque os bancos de dados não são completos ou os mais atuais, senão não teria versão paga. Além, disso cópia de segurança. Claro que este último não adianta se forem arquivos recentes.

    • Pedro C. says:

      Nem todos os antivírus possuem versões pagas, Qihoo é um exemplo.
      Maioria dos antivírus não detecta ransomware, quando detecta elimina apenas o vírus, já os ficheiros ficaram encriptados.

  14. silva says:

    Eu uso muito virtualização, tenho 3 máquinas virtuais que uso para atividades específicas, como trabalho, filmes, imagens. Esse programa consegue migrar para outros ou ficaria restrito àquela máquina virtual infectada?

  15. Emanuel says:

    Esqueçam os antivirus. Como ja foi referido nos comentários, eu reforço que nada bate a sensibilidade. A minha recomendação é simples. Se tiverem um pc com documentos importantes, não o liguem à rede. Hoje em dia usarem o smartphone/tablet como ligação ao mundo virtual é bastante prático. Utilizem o vosso pc como “Stand Alone”. O comodismo é inimigo da segurança.

  16. Krasy says:

    eu por norma costumo abrir files suspeitos dentro de uma sandbox mas não estou livre de ser infectado.
    concordo plenamente com a técnica do bom senso; mas infelizmente não posso contar só com o meu.
    tenho users na rede que abrem tudo o k lhes vem á frente.

  17. Rui says:

    A pouco referiam que era possivel efetuar uma formatação. Se nos tivermos o disco dividido em duas partições e todos os ficheiros que interessa manter, estiver na partição que não a do windows, é possivel formatar apenas a partição afetada, deixando a outra intacta? Ou ele deixa ramificações em todas as partições?

  18. JP says:

    Boas.. uma duvida.

    – Não se pode restaurar o sistema para uma data anterior?

    ( se tivermos o disco clonado e gravado num suporte externo tb não deve haver crise)

    • Pedro C. says:

      O restauro não te recupera os ficheiros encriptados.
      Se clonares o disco regularmente e guardares num suporte externo então sim consegues obter os ficheiros de acordo com a ultima data que foram clonados.

      • YaBa says:

        O restauro não, mas se tiveres a opção “Versões anteriores” activa estás safo. Clonar o disco completamente como medida de segurança é um absurdo (em PC’s pessoais)

  19. Ayrton says:

    Ser desconfiado obsessivamente ainda é a melhor solução!

  20. Nuno says:

    Melhor solução é usar windows scom 2 contas sendo que a que vcs usam , sem administrador para n poder instalar nada…e bannking usem o iPad sem jailbreak, 0virus 0 fake site

    • Rafael says:

      A estes ramsomware tanto faz… Os utilizadores atacados na instituição onde trabalho não têm direitos administrativos.
      E nas drives mapeadas só atacava onde o utilizador tivesse permissões de escrita.

  21. João says:

    Utilizem um sistema operativo decente (Linux ou OS X) que já não vos acontece.

    Cumprimentos.

  22. Neopunk says:

    Não existe um silver bullet para mitigar o problema, existe sim uma receita que permite minizar o risco:

    -Awareness para os riscos da utilização indevida dos meios informáticos;
    -Regra de uso no email: emails não contextualizados e/ou necessários de endereços conhecidos ou não) –> Delete (este método tem revelado 100% de eficácia comigo!);
    -AV atualizado e com capacidade de análise file reputation;
    -Últimas versões de software e updates de sistema operativo;
    -Backups offline;
    -Serviço Cloud Storage com funcionalidades de versionamento e restore/download;
    -Browser com malware/url inspection/reputation integrado;

  23. Fernando Afonso says:

    ===========
    Questão
    ==========
    Um utilizador que use uma conta do Windows sem privilégios, tem igualmente a mesma probabilidade ser “contaminado”?

  24. Proud Troll says:

    Vejam menos porno seu pu***teiros.

    Ou pelo menos paguem por ele em sites fidedignos.

    E o mesmo para os jogos da BTV, coisa que para os benfas é o mesmo que ver porno.

  25. bill says:

    mesmo bom e aconselhar e informar as pessoas dos perigos de abril mails não fidedignos ou que não conhecem o seu remetente por enquanto a solução é mesmo reinstalar o s.o ou pagar ….

  26. bill says:

    mesmo bom e aconselhar e informar as pessoas dos perigos de abril mails não fidedignos ou que não conhecem o seu remetente por enquanto a solução é mesmo reinstalar o s.o ou pagar ….

  27. Redin says:

    “Como se proteger?
    Este tipo de malware “chega” normalmente por e-mail. ”

    E isto só acontece porque os modelos atuais de correio eletrónico permitem que os remetentes tenham a liberdade de enviar sabendo que do outro lado haverá sempre um destino potencialmente pronto a executar um anexo.
    Com o sistema antispam P2T o remetente fica sem a motivação para injetar na rede qualquer tipo de malware ou lixo eletrónico. Há coisas fantásticas, não há?

  28. Pin3tr33 says:

    Depois de ler alguns comentários, Só Quero deixar um humilde contributo:
    Também já há distribuições Linux a ser afectadas com ramsomware!

  29. Protecção says:

    Existe software que protege a 100% contra este tipo de malware. O software obviamente não vai reverter o processo de encriptação, mas protege contra o mesmo a 100% ( Testado ).

    O ” problema ” desta tecnologia é ser software pago…

  30. Algarvio says:

    Tenho um computador no meu serviço que foi infectado com o Cryptowall. Já tentei desencriptar os 2 Gb de ficheiros afectados, mas nada. E não há shadows dos mesmos, nem backups. Cheguei a tentar usar uma ferramenta que desencripta Cryptolocker, mas não dá. Alguém conhece alguma solução de desencriptar os ficheiros infectados pelo Cryptowall, freeware ou open source? Um obrigado desde já.

    • Pedro C. says:

      As soluções possíveis já testaste, não há nenhuma ferramenta que possa solucionar esse problema, só tendo a chave desencriptação.

  31. Xkaper says:

    Boa noite, já lidei com alguns casos de clientes “Vitimas” deste tipo de esquema, digo já que muito dificilmente é possivel desencriptar os ficheiros… Tambem já tnetei e pelo que vi pela net fora, é extremamente complicado!! e não há solução de segurança que bata aos pontos o olho aberto do utilizador, nada a fazer senão esquecer os documentos e limpar a maquina totalmente mesmo.

  32. bill says:

    Andei a bater n9 ceguinho durante dias e pelo que andei a ver não há antivírus ou algum decrypt que consiga limpar … minha nossa então se são ficheiros e pastas encriptadas ou seja protegidas por uma chave que pode ser uma chave com um ou milhares de caracteres bem se nem commo decrypt vai lá e o antivírus só detecta mas a chave está lá única solução pagas ou reinstalas o s.o simples…..

  33. silvio g says:

    Um outro problema comum é que a esmagadora maioria das pessoas, nem sequer têm firewall, e usam antivirus gratuitos como a bosta do “AVG” ou o “Avira”.

    Eu uso antivirus pago, kaspersky, e nunca tive infecções.

    • X1 says:

      Não pondo em causa a conhecida reputação do Kaspersky, posso afirmar que usei muitos anos o Avira e tenho-o como um dos melhores Antivirus do mercado. E nem toda a gente está disposta a pagar pelo Kaspersky.

  34. Luís says:

    Boa Tarde,

    O meu Ipad foi vitima de ransomware e pedem o pagamento de 100 €.
    O que sucede é que não consigo usar o safari, estando sempre a aparaceder pop ups a dizer que tenho que fazer um pagamento paypal naquele valor.
    Consigo aceder às restantes aplicações e funcionalidades do Ipad, alguém tem alguma sugestão de como resolver este problema?
    Obrigado pela vossa ajuda.

    • Vítor M. says:

      Ransomware num iPad? Tens a certeza que se fechares o Safari, limpares os cookies e o histórico isso não desaparece? Estou até curioso, pois como o iOS é construído… ransomware lá dentro…

      Mas seja como for, nada como um Restore de fábrica! Mas continuo curioso! Tens screenshots disso?

      • Luís says:

        Pois também eu fiquei espantado.
        Pensava que isto não acontecia nos Ipad.
        Não tenho aqui screenshots, porque estou no trabalho e não tenho o ipad comigo, mas quando chegar a casa envio.
        O problema com o restore de fábrica é que eu devia fazer uma cópia de segurança primeiro e depois tenho receio que quando ligar o ipad ao computador o problema volte a verificar-se.
        Mas antes isso do que pagar os 100 €.

      • Luís says:

        Vitor já enviei os screenshots

  35. Ayb says:

    Sou Brasil e uma dúvida me ocorre. Estou fazendo backups e encriptando os arquivos para depois enviar para a Cloud. Meus arquivos já encriptados correm o risco de também sofrerem infecção??

  36. Andre says:

    A droga dessas reportagens é ser sempre essa abordagem genérica do assunto, falando do vírus como se fosse qualquer malware.

    Esses vírus de criptografia são hoje as maiores ameaças à segurança virtual, tanto para o usuário como para grandes empresas, e ao meu ver não estão sendo levadas a sério como deveriam. Creio que justamente por isso ainda não houve pesquisa para tratar da cura.

    Quando se é infectado por algum desses malwares, o que temos de material de consulta são reportargens/foruns que abordam o problema de forma patética como apresentado aqui, dizendo que a infecção vem por email… que você deve ter cuidado… que não deve abrir links suspeitos… bla bla bla. Ok, você deve isso e aquilo, não deve isso e não deve aquilo, mas será mesmo que uma equipe hacker focada em desenvolver um malware não pensaria nisso? Não seriam eles capazes de bolar uma forma de infecção que fuja desses padrões genéricos de disseminação? Sim, eles são capazes e ESTÃO fazendo uso disso. O criptowall não necessita de envio por email nem de um anti vírus atualizado para confrontá-lo. O simples contato de um .exe infectado com seu sistema e você acabou de ser infectado, e ele VAI passar despercebido pelo seu genial anti virus, acredite. Ele pode ser carregado em dispositivos usb (incluindo celulares, que operam como hospedeiros ao plugá-los num sistema infectado, para depois transmití-lo a um sistema “alvo”).

    Grandes especialistas de segurança ainda não tem a MENOR idéia de como desfazer o estrago causado pelo malware. O que tem sido feito hoje é utilizar o backup de arquivos como ÚNICA contra-medida ao dano causado no sistema e aos arquivos afetados. Não existe aparentemente nenhum esforço direcionado desses especialistas em tentar desfazer a chave criada pelo malware para reverter o dano ao sistema e reaver os arquivos danificados/criptografados. Enquanto isso, mais e mais sistemas vão sendo afetados e mais e mais pessoas/instituições pagarão o preço pela área de TI fazer vista grossa ao problema. Pra constar: vista grossa no sentido de que o problema já está no ar a ANOS e não houve nenhuma mobilização em nenhuma área em trabalhar para uma vacina, nem mesmo nos grandes laboratórios.

    Dessa forma hoje faz-se necessário – leia-se OBRIGATÓRIO – a utilização de backup externo. A nível corporativo isso de fato é obrigatório, pois é deveras displicência de uma empresa não manter a prática de um backup externo de seus próprios dados. Entretanto, pensando a nível de usuário, é exagero exigir que se faça uso dessa prática; eu acredito que o usuário não deveria levar ao seu desktop/laptop/etc a preocupação da OBRIGATORIEDADE de salvar seus danos de forma externa. Eu acredito que o CORRETO seria que a comunidade de TI se empenhasse em tratar do problema da mesma forma como trata rootkits, vírus, trojans, etc, ao invés de lidar com ramsomwares somente com medidas de contorno (backup externo).

  37. Roberto says:

    Na antomia de alguns Ransonwares existe um impedimento e encriptacao, por exemplo,o Cryptowall em todas suas versoes,e agora na na sua versao 4.0, nao encripta comptadores infectados da Russia e mais 5 paises do leste europeu, o virus le o idioma do teclado e se bater com algum destes 6 paises,aborta a operacao.
    A partir dai…se previnam….
    Mas qm tem arquivos importantes e perder para encritacao tem mais e q se lascar pq e burro.
    Nao se culpa pela ignorancia de nao saber algo,mas pela burrice de nao faze backup. Se fo em empresa, deve se mandar embora o reponsavel por justa causa.
    Previnam se.

Deixe uma resposta

O seu endereço de email não será publicado.

You may use these HTML tags and attributes: <a href="" title="" rel=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*

Aviso: Todo e qualquer texto publicado na internet através deste sistema não reflete, necessariamente, a opinião deste site ou do(s) seu(s) autor(es). Os comentários publicados através deste sistema são de exclusiva e integral responsabilidade e autoria dos leitores que dele fizerem uso. A administração deste site reserva-se, desde já, no direito de excluir comentários e textos que julgar ofensivos, difamatórios, caluniosos, preconceituosos ou de alguma forma prejudiciais a terceiros. Textos de caráter promocional ou inseridos no sistema sem a devida identificação do seu autor (nome completo e endereço válido de email) também poderão ser excluídos.