E se de repente visse todo o conteúdo do seu computador encriptado por um terrível Ransomware, de forma a que não conseguisse ter acesso a nada… pagaria o resgate que lhe iriam pedir?
Este cenário é a realidade de milhares ou milhões de pessoas e empresas por este mundo fora, actualmente. A nova velha ameaça do Ransomware está de volta… cuidado, você pode ser a próxima vítima!
Recuando a 2012, o Pplware foi um dos primeiros canais informativos a abordar este tipo de malware! O mundo digital via surgir um novo tipo de software malicioso que foi baptizado com o nome de ransomware (ransom = resgate). Esta terrível ameaça entrou rapidamente na vida dos utilizadores domésticos e empresariais e como se não bastassem os estragos ainda é pedido aos utilizadores o pagamento “do resgate”.
Vamos então perceber o que é o Ransomware e uma “vertente” que exerce medo que se chama Scareware. Perceba as diferenças e saiba como actuam e como se pode proteger.
O que é exactamente o Ransomware?
Se não está familiarizado ou se não se lembra de ver este nosso artigo, que já tem algum tempo, então vamos explicar o que é, o que afecta e como se previne.
Ransomware é um “nome” que deriva do acto do próprio software, isto é, há um contacto com a hipotética vítima, é lançado o engodo (que pode ser um e-mail a solicitar que clique num link e pode não acontecer nada!!!), depois é descarregado um software e sem que consiga detectar a sua acção este começa a encriptar tudo o que tem na sua máquina, excepto algumas pastas do sistema operativo.
Lembramos que, ao contrário do que acontecia no passado com os vírus, hoje as ameaças são polifórmicas, altamente mutáveis e, facilmente, os atacantes conseguem controlar o ataque remotamente. Curiosamente 99% das hashes do malware são vistas apenas por 58 segundos ou menos. Isto reflecte o quão rápido os hackers conseguem modificar o código de forma a dificultar a detecção.
No caso do Ransomware, depois de “trabalho” feito, os responsáveis pelos ataques pedem um resgate e até aqui o esquema continua pois estes disponibilizam apoio técnico pago e, em algumas circunstâncias, até fazem descontos. Leia aqui alguns relatos de desespero das vítimas.
Actualmente, existem alguns nomes de Ransomware bem conhecidos como é o caso do famoso Cryptolocker, locky, Petya, etc. Vamos conhecer melhor alguns deles. Sabia que 4% da população dos EUA é vítima de Ransomware?
Em termos mais simples:
Ransomware: Cryptolocker o famoso filecoder, conheça-o!
O modo de actuar é simples. Vamos imaginar que uma variante encriptou os seus documentos e está a exigir que pague um resgate para desbloquear o acesso aos mesmos. Este tipo de ransomware é conhecido como filecoder e um dos mais proeminentes filecoders é o Cryptolocker.
Como é que o meu computador pode ficar infectado por ameaças como o Cryptolocker?
Um método típico de infecção seria a abertura de um anexo de e-mail não solicitado ou o dar um clique numa ligação que fingisse ser de uma instituição bancária ou de uma empresa de entregas. Já surgiram também versões diferentes do Cryptolocker e que foram distribuídas através de redes de partilha de ficheiros peer-to-peer e que se fizeram passar por chaves de activação para aplicações tão populares como o Adobe Photoshop e Microsoft Office.
Quando o seu computador fica infectado, o Cryptolocker procura por diversos tipos de ficheiros para encriptar – e assim que o consegue, bloqueia o computador e envia-lhe uma mensagem solicitando a transferência electrónica de dinheiro para voltar a ter acesso aos ficheiros.
Nalguns casos, o ecrã de bloqueio pode accionar a sua webcam e mostrar a sua imagem para causar mais pânico. Os utilizadores menos experientes podem acreditar que estão a ser observados pelas autoridades.
Ransomware: Petya
O Ransomware Petya usa como isco uma suposta proposta de trabalho, que chega por e-mail, sendo que o utilizador é levado a descarregar um pretenso Curriculum Vitae (que na verdade é o ficheiro malicioso) que está alojado no Dropbox.
Depois do utilizador tentar abrir o ficheiro malicioso, o sistema é de imediato “raptado” ficando bloqueado. Em poucos segundos aparece uma mensagem a referir que o sistema está a verificar possíveis erros no sistema de ficheiros. Este Ransomware ganhou recentemente um “amigo” que ajuda a que o ataque seja ainda mais eficaz – saber mais aqui.
Ransomware: Locker Maktub
Esta nova variante de Ransomware começa por captar a atenção da vítima através de um e-mail que, aparentemente, é inocente e confiável. Ao ponto de ter, inclusive, um endereço legítimo. O assunto, para conseguir a atenção do utilizador, tem de ser ou preocupante ou aliciante, a táctica actualmente é ser de aviso, para alertar a vítima, então o truque são os avisos de entidades que emitem alertas de facturas em atraso.
O e-mail geralmente contém um pedido de pagamento da tal factura em atraso. O que diferencia este Ransomware dos restantes que já conhecemos é que este parece ter uma ideia de onde a vítima vive, pois inclui o seu endereço dentro da mensagem.
O que é o scareware?
O Scareware é um software que tenta assustá-lo de modo a que realize uma determinada acção, atenção que este software apenas quer enganá-lo, fazendo passar-se por ransomware. Mais especificamente, o scareware pode “mascarar-se” de um produto anti-vírus que alerta para problemas de segurança no computador ou smartphone, numa tentativa de levar o utilizador a instalar uma actualização falsa e, essa sim, poderá ser na realidade malware.
Há casos, em que o anti-vírus é falso e pode apresentar-se com o nome de uma empresa de segurança verdadeira, numa tentativa de parecer mais real.
À semelhança do Ransomware, também o Scareware pode ser escrito para qualquer sistema operativo. Ironicamente, alguns destes softwares falsos conseguem ter interfaces mais atractivas do que produtos legítimos. Numa atitude sinistra algum Scareware pode recorrer a tácticas de ransomware para exigir dinheiro.
O que acontece se o meu PC for afectado por Ransomware e eu não pagar?
No caso de muitos ataques Ransomware existe um prazo para o pagamento – e se não pagar a tempo pode perder permanentemente o acesso aos seus ficheiros. Contudo, há também exemplos de pessoas que pagaram e nunca receberam as ditas chaves para desencriptar. Cuidado que muitos destes ficheiros com Ransomware que vagueiam pela web podem ter anos já e as organizações que estão por trás da sua criação até pode já nem estar no activo.
O Ransomware que encripta ficheiros é o único tipo de Ransomware?
Não, existe também o Ransomware Lock Screen. Este é um tipo de Ransomware que bloqueia o computador, impedindo-o de fazer qualquer coisa até que seja pago um resgate.
Em muitos casos a mensagem de bloqueio pode fazer-se passar por uma mensagem da polícia, informando-o de que terá de pagar uma multa por causa de imagens de abuso de crianças, zoofilia, ou utilização de sites ilegais, uma vez que foi encontrado software pirata no seu computador.
E as pessoas pagam realmente o resgate?
Sim, em muitos casos, pagam. Imagine que não tem um backup verificado a partir do qual pode restaurar os seus ficheiros mais sensíveis ou os da empresa. É legítimo pensar que vale a pena gastar algumas centenas de euros para recuperar o acesso aos seus dados. Mais concretamente, quem é um alvo mais apetecível é o utilizador doméstico.
A razão pela qual os utilizadores domésticos são mais vulneráveis prende-se na falta de backups. As empresas são mais preocupadas em ter backups e sistemas de segurança sempre activos e actualizados e mesmo que uma máquina seja afectada há uma grande probabilidade de haver um backup recente, de haver um antivírus que não deixe propagar ou que os dados sensíveis estejam por trás de uma estrutura de segurança forte.
No caso dos utilizadores domésticos não é bem assim. Estes facilmente estão menos preparados, são mais descuidados com a questão dos backups e, em grande parte dos casos, estes ficam assustados com as ameaças falsas da polícia e menções a imagens de abuso infantil (as pessoas só com o pensamento de serem acusadas e rotuladas, mesmo sendo obviamente tudo falso… pagam e pagam bem).
Mas há casos de se pagar e haver de novo acesso aos dados?
Há. Na verdade há redes bem organizadas que levam estes esquemas com um rigor “comercial” de tal ordem que depois de receberem o pagamento fazem com que os dados sejam restaurados e por um motivo simples. Se eles não fossem restaurados e caso esta mensagem se espalhasse, ninguém pagaria o resgate. Mas não se iluda, este pagamento fará de si uma vítima no futuro.
Mas então se eu for vítima de ransomware, pago ou não o resgate?
NUNCA PAGUE! Lembre-se de que não existe nada que impeça as pessoas que lhe estão a tentar extorquir dinheiro, de não lhe pedirem mais. Se pagar o resgate irá estar a contribuir para a evolução do mercado criminoso. Então, ao invés, aprenda a lição, obtenha uma melhor protecção e garanta que tem um sistema de backup adequado que lhe permite recuperar os seus ficheiros essenciais, no caso de ser novamente atingido.
É claro que são muitos os utilizadores, que em desespero, acabam por ceder e pagam o resgate.
Mas como me posso proteger?
Há vários comportamentos que tem de rever. O primeiro é logo ter a sua máquina com um bom antivírus, mas não é suficiente até porque a segurança é baseada em assinaturas (Se o antivírus não reconhecer o ransomware x ou y não vai actuar. Depois, como já referimos, os atacantes conseguem rapidamente mudar o código do malware.) . Depois nunca esquecer de ter cópias num disco externo e/ou na cloud. Há sempre uma grande probabilidade de se poder repor os ficheiros que estão na cloud sem que estes tenham sido infectados, os próprios sistemas de cloud têm já métodos para salvaguardar alguns casos, mesmo os serviços gratuitos.
A prevenção é a melhor medicina
Os filecoders que encriptam os ficheiros são piores que o malware que bloqueia o ecrã, é verdade, isto porque tornam a recuperação mais difícil, ou nalguns casos impossível, a menos que possua uma cópia de segurança.
Os ransomware filecoder estão a surgir com maior frequência?
O ano de 2016, como referimos, está a tornar-se no ano-chave deste malware. Cada vez é mais frequente e tem sido descoberto a toda a hora pelos investigadores.
Que sistemas operativos já foram atacados por ataques ransomware?
Não existe nada que impeça os criminosos de desenvolverem ransomware para qualquer plataforma – embora actualmente a maioria dos ataques atinjam os utilizadores Windows. O Cryptolocker, por exemplo, apenas foi visto na plataforma Windows.
Outras notícias sobre ransomware que deve ler:
- Ransomware está a manter refém um hospital nos EUA
- Novo ransomware ameaça expor ficheiros de quem não pagar
- Nova variante do malware ransomware sabe onde você mora
- Malwarebytes: Agora com protecção de ransomware
- Ransomware Petya está mais forte que nunca! E tem amigo…
- ESET lança ferramenta gratuita para remover ransomware
- Ransomware: O que as vítimas preferem recuperar?
- Cuidado, novo Ransomware está a chegar via Teamviewer