A forma como o chamado “ransomware” funciona requer uma abordagem específica para garantir a proteção dos seus dados, uma vez que até mesmo os backups podem ser afetados.
No que diz respeito ao malware, em geral, o chamado ransomware é, provavelmente, a ameaça que veio criar mais problemas aos utilizadores – quer domésticos, quer empresariais.
Hoje, aquilo a que chamamos, por força do hábito, “vírus”, é tudo menos isso. O típico vírus informático a que nos habituámos no mundo do MS-DOS e, mais tarde, do Windows – um pedaço de código que provocava “infeções” aos ficheiros .exe e .com e se propagava cada vez que eles eram executados – praticamente desapareceu. Era um tempo diferente, em que a Internet ainda não se tinha tornado omnipresente e em que a forma mais comum de propagação de um vírus era através de disquetes “infetadas”.
Atualmente a maioria das ameaças são, na realidade, “worms” – ficheiros maliciosos que se propagam através das redes, por vezes de forma tão simples como mensagens de email, e que não precisam (como um “vírus”) de um programa “hospedeiro”. E, a tudo o que consideramos “software malicioso” chamamos “malware”.
Este tipo de ataques coloca diversos tipos de desafios, especialmente, no que diz respeito à gestão de backups. Porquê? Porque, dependendo da forma como estiverem implementados os backups, estes podem também ficar encriptados!
É o que acontece frequentemente em empresas que utilizem sistemas de backups através de unidades de rede. As primeiras versões de ransomware de encriptação só conseguiam encontrar ficheiros de dados em unidades físicas ou mapeadas – caso o sistema de backup usasse recursos de rede não mapeados, não haveria problema. Contudo, versões mais sofisticadas de ransomware (o primeiro do género foi o CryptoFortress [1]) também são capazes de encriptar pastas de rede não mapeadas, desde que sejam acessíveis a partir do computador hospedeiro, e até ficheiros em partilhas de serviços na nuvem, como o Dropbox.
Acresce que, apesar do nome deste malware ser baseado no conceito de resgate («tu pagas, eu devolvo-te os ficheiros “raptados”»), nem sempre o pagamento garante a recuperação dos ficheiros.
A diferença do ransomware
O ransomware é um tipo de ameaça relativamente nova. Apesar do primeiro exemplo deste malware datar já do final dos anos 80, foi preciso esperar por 2013 para termos um exemplo cabal do que este novo tipo de ameaça é capaz. Foi neste ano que surgiu o Cryptolocker, com todos os elementos típicos do que, entretanto, nos habituámos a chamar ransomware, designadamente:
- O malware é executado no computador hospedeiro, em segundo plano, sem afetar inicialmente o funcionamento da máquina;
- Os ficheiros de dados do computador e/ou de quaisquer discos a ele ligado, são criptografados em segundo plano, ficando ilegíveis, usando criptografia de chave pública;
- Após a encriptação de um número significativo de ficheiros de dados – ou de todos! – é exibida uma mensagem ao utilizador indicando o que se passa e exigindo (esta é a parte do resgate/ramsom propriamente dito) o pagamento de uma quantia, através de Bitcoin ou outra criptomoeda semelhante, não rastreável, para desencriptar os ficheiros através do fornecimento da chave.
Este tipo de ataques coloca diversos desafios, especialmente, no que diz respeito à gestão de backups. Porquê? Porque, dependendo da forma como estiverem implementados os backups, estes podem também ficar encriptados!
É o que acontece frequentemente em empresas que utilizem sistemas de backups através de unidades de rede. As primeiras versões de ransomware de encriptação só conseguiam encontrar ficheiros de dados em unidades físicas ou mapeadas – caso o sistema de backup usasse recursos de rede não mapeados, não haveria problema. Contudo, versões mais sofisticadas de ransomware (o primeiro do género foi o CryptoFortress ) também são capazes de encriptar pastas de rede não mapeadas, desde que sejam acessíveis a partir do computador hospedeiro, e até ficheiros em partilhas de serviços na nuvem, como o Dropbox.
Acresce que, apesar do nome deste malware ser baseado no conceito de resgate («tu pagas, eu devolvo-te os ficheiros “raptados”»), nem sempre o pagamento garante a recuperação dos ficheiros.
Num próximo artigo iremos abordar algumas soluções para salvaguardar a informação de ataques de ransomware.
Vídeo sobre backups e instantâneos na QNAPTV Portugal
Este artigo tem o apoio da QNAP na disponibilização da informação ou equipamentos.