Ransomware: O malware que sequestra dados

No primeiro trimestre de 2015 houve um aumento perceptível de ataques do tipo Ransomware, um malware sequestrador que invade o computador, inutiliza os arquivos, e pede ao usuário um valor de resgate para restauração dos mesmos.

O ransomware utiliza de vários artifícios para se evadir da proteção dos antivírus e quase sempre são imperceptíveis ao monitoramento executado por antivírus gratuitos, atingindo exclusivamente os dados armazenados na máquina.

Essa ameaça não é recente, o primeiro relato de rasomware ocorreu em 1989, quando uma companhia fictícia chamada PC CYBORG distribuiu milhares de disquetes contendo “informações sobre a Aids”, ao executar o arquivo no disquete, os dados salvos na partição do sistema operacional eram encriptados após várias reinicializações e surgia uma mensagem na tela solicitando um pagamento de 189 dólares para o desbloqueio.

Mas por que se preocupar?

Os Ransomware tiveram sua criptografia, formas de propagação e alvos visados aperfeiçoados e estão voltando com força total.

Os arquivos afetados por esse tipo de praga vão de fotos, músicas, planilhas, documentos de texto e até banco de dados empresariais, contendo todos os dados da empresa como cadastro de clientes, inventários e dados financeiros.

O ransomware utiliza algoritmos avançados de criptografia como o AES-256 e RSA-1024, para encriptar os dados e impossibilitar sua leitura, após isso é gerada uma chave de decriptação, que libera o acesso aos arquivos, essa chave fica em poder dos criminosos, onde os mesmos pedem um pagamento de resgate prometendo dar a chave para o usuário decriptar e restaurar seus arquivos.

Formas de propagação

São várias as formas de propagação, as principais são: anexos de e-mails, sites de download, links em rede sociais e falsas atualizações para programas básicos como Adobe Reader, Adobe Flash Player ou Java, sugeridas por sites infecciosos.

Por exemplo, uma rede de distribuição de ransomware na Turquia enviava e-mails falsos provenientes de empresas de telefonia e de serviços de postagem, a mensagem solicitava o preenchimento de um formulário para devolução de mercadorias ou verificação de faturas. Após clicar no link, o usuário era redirecionado para um site com o ransomware.

Após instalado, o ransomware se espalha pela rede local e infecta todas as máquinas vulneráveis ao seu alcance. Atualmente os ransomware mais ativos são: CryptoWall, CTB-Locker, TorrentLocker e BandaChor.

Criminosos desconhecidos

O pagamento do resgate dos dados, na maioria das vezes, só podem ser feitos em Bitcoin, uma moeda digital descentralizada, que não é emitida por nenhum governo e é transferida diretamente de uma pessoa para outra sem intermédio de nenhum banco ou sistema de transferência online, uma conta Bitcoin não pode ser cancelada e não existe requisitos de abertura nem limite de crédito.

Essa moeda é facilmente adquirida em sites de compra de Bitcoins, necessitando apenas um cadastro com e-mail, após isso qualquer pessoa pode transformar moedas como Real ou Dólar em Bitcoin.

O diferencial dessa moeda virtual é a transação não rastreável, que permite o anonimato dos usuários, sendo assim, pessoas mal intencionadas utilizam esta tecnologia para praticar atividades criminosas como venda ilegal de armas e drogas, serviços de matadores de aluguel e crimes virtuais.

Em razão da alta segurança da moeda Bitcoin, os criminosos que espalham o ransomware dificilmente serão encontrados e punidos, aumentando a incidência do sequestro de dados. Esses tipos de ataques estão cada vez mais comuns, tanto que em outubro o tema foi alvo de matéria do Fantástico.

Como se proteger

Casos de Ransomware são mais frequentes em computadores desprotegidos, listaremos a baixo as formas de prevenção:

Sistema operacional atualizado

Um computador que possui um sistema operacional defasado tem brechas de segurança que podem ser utilizadas pelos criminosos, com isso estará mais suscetível a ser infectado, o ideal é sempre manter o sistema operacional atualizado.

Várias empresas e usuários comuns ainda utilizam o Windows XP, sistema operacional da Microsoft que deixou de ter suporte desde 8 de Abril de 2014, isso significa que esse sistema não recebe atualizações de segurança ou correção de falhas e se tornou um alvo fácil para os criminosos.

Antivírus Corporativo

Além de um sistema operacional atualizado, é preciso ter um nível a mais de proteção para que sua máquina não seja infectada. Um antivírus gratuito não é opção para quem busca uma proteção contra esse tipo de ameaça, a melhor opção é um Antivírus com licença original e Gerenciado.

Qualquer antivírus pago por mais seguro que seja é configurado pelo o usuário da máquina, que geralmente não tem o conhecimento necessário para agir em caso de uma infecção, o antivírus bloqueia qualquer suspeita de ameaça, mas o usuário tem a total liberdade para permitir que o arquivo suspeito seja ignorado com apenas um clique.

No Antivírus Corporativo existe uma equipe de profissionais capacitados monitorando e gerenciando via internet todas as ações do antivírus em tempo real como bloqueio, permissões e controle de aplicativos.

Se você é dono de uma empresa e quer manter sua rede protegida, essa é a solução ideal, um investimento de baixo custo que evita um enorme prejuízo.

Web Protection

A Proteção na Web é um componente importantíssimo para a segurança de uma rede de computadores, com esse controle o cliente tem mais um nível de proteção para que o ransomware não invada sua máquina.

A Proteção na Web é bastante eficaz, pois existe uma equipe de analistas que diariamente monitoram sites de distribuição de ameaças e fazem o seu bloqueio como também alimentam um banco de dados com todos os endereços maliciosos encontrados.

O bloqueio de sites é organizado por categorias como redes sociais, sites de notícias, esportes e downloads, contribuindo também para o aumento de produtividade dos seus funcionários.

Backup online gerenciado

O item mais importante desta lista é o Backup online gerenciado, backup online é diferente de armazenamento online oferecidos pela Google ou Dropbox por exemplo.

O armazenamento online não monitora nem protege os dados do cliente, no backup há um monitoramento em tempo real com emissão de alertas e relatórios diários demonstrando o estado dos arquivos e se os backups estão ocorrendo de maneira correta, além de criptografar os arquivos do cliente, fazendo com que mesmo que algum hacker invada o sistema de backup não tenha acesso aos arquivos, devido à criptografia de proteção existente neles.

Os arquivos podem ser recuperados a qualquer momento necessitando apenas de uma conexão com a internet. Caso o Ransomware consiga invadir o computador, a saída é restaurar o backup mais atualizado que ocorreu antes da infecção e ter os seus arquivos de volta.

Por fim, é necessário que usuário seja consciente e cauteloso enquanto estiver navegando na internet, é preciso ter cuidado ao abrir links em redes sociais ou anexos em e-mails de procedência duvidosa e não fazer downloads em sites de pirataria.

Seguindo estas dicas suas máquinas estarão altamente protegidas contra qualquer tipo de ameaça e evitará que sua empresa tenha prejuízo com o sequestro dos dados.

Deyvisson Breno Veras

Analista de Sistemas e Analista de Suporte em Infraestrutura de TI no departamento de Serviços Gerenciados da AM3 Soluções.