Introdução
Ransomware é um tipo de software malicioso (malware) criado com o intuito de bloquear o acesso a arquivos ou sistemas para só liberá-los após o pagamento de um valor especificado. É como se fosse um sequestro, mas virtual. Nas próximas linhas, você entenderá melhor o que é ransomware, terá dicas de prevenção e verá instruções sobre como agir caso seu computador ou sistema seja infectado por uma praga do tipo.
Ransomwares: os malwares sequestradores
A palavra ransomware já deixa claro a razão de esse tipo de malware ser tão assustador: "ransom" é um termo em inglês que é usado em referência a resgate, exigir resgate, pagar para resgatar e assim por diante. A associação de ransomwares com práticas de sequestro, portanto, não é exagero.
Apesar de serem vistos como um problema de segurança recente, os ransomwares não são um conceito novo: as primeiras referências a esse tipo de praga digital remetem ao final da década de 1980.
Naquela época, era possível encontrar um vírus de DOS chamado Casino que, todo dia 15 de abril, copiava dados da memória RAM e do sistema de arquivos FAT, e apagava todo o conteúdo do HD. O usuário não tinha que desembolsar nenhum dinheiro, mas só podia recuperar os dados se pontuasse em um jogo estilo caça-nível que o Casino exibia na tela.
Mas, naquela época, já existiam malwares desenvolvidos com o intuito de extorquir dinheiro da vítima. O PC Cyborg, cujas primeiras aparições datam de 1989, era um malware distribuído por disquete que criptografava a unidade C:\ e exigia pagamento em dinheiro —frequentemente no valor de US$ 189 — em nome da PC Cyborg Coporation para liberar os dados. Várias versões desse invasor foram desenvolvidas nos anos seguintes, todas com o mesmo intuito.
Na verdade, o PC Cyborg reescrevia apenas o arquivo de sistema autoexec.bat, ocultava pastas e criptografava os nomes de arquivos na unidade C. Ransomwares realmente capazes de criptografar conteúdos inteiros só viriam a surgir anos mais tarde. A maioria se limitava a ações mais simples: alteração de nomes de arquivos, exibição de uma tela com uma ameaça e assim por diante.
Os primeiros ransomwares modernos com poder significativo de alcance surgiram por volta de 2005 com pragas como Krotten, Cryzip e MayArchive, que utilizavam criptografia RSA para bloquear dados ou sistemas e exigir pagamentos para a liberação.
De lá para cá, a incidência de ransomwares não para de crescer. O motivo é óbvio: a internet facilita a disseminação. Além disso, esse tipo de praga tem potencial de gerar grandes quantidades de dinheiro para criminosos que atuam em meios on-line.
Como um ransomware se propaga
Os mecanismos de propagação dos ransomwares não são diferentes dos métodos usados para disseminar vírus e outros malwares: e-mails, redes sociais (como Facebook e Twitter), serviços de mensagens instantâneas (como WhatsApp e Skype) e sites falsos são os meios mais usados para esse fim.
Em praticamente todos há alguma tática de engenharia social: a mensagem é acompanhada de um argumento que tenta te convencer a clicar em um link ou anexo que leva ao ransomware. O texto pode dizer, por exemplo, que você tem uma dívida não paga, uma pendência com a justiça, uma atualização de segurança do banco ou um convite para visualizar fotos íntimas de uma personalidade famosa. Note como esses textos tentam assustar o usuário ou aguçar a curiosidade. Em ambas as circunstâncias, a pessoa tende a ter menos cuidado e, aí, clica no link ou no anexo. Também é comum o ransomware se passar por antivírus, jogo ou aplicativo. Nesses casos, o usuário pode cair em uma página que promove aquele software ressaltando as suas vantagens. A pessoa, então, é levada a acreditar que o software é legítimo. Mas, quando o instala, acaba permitindo que o malware contamine o seu computador ou dispositivo móvel.
Há casos de ransomwares que exploram falhas no sistema operacional, em aplicativos ou em plug-ins (como Java e Flash), mas o uso de técnicas de engenharia social tem mesmo mais efeito. Imagine, por exemplo, que você recebeu um e-mail de uma loja de comércio eletrônico avisando que o seu pedido já está em rota de entrega. Acontece que você não fez nenhuma compra! Curioso, você clica no link que supostamente dá mais detalhes sobre o pedido e acaba baixando o malware.
Você nunca cairia em truque desses? Que bom! Mas muita gente caiu: essa tática foi usada no primeiro semestre de 2016 para disseminar um ransomware de nome Locky. Nesse caso, os e-mails estavam em nome da Amazon, uma das mais conhecidas lojas de comércio eletrônico do mundo.
Como os ransomwares agem
Após a contaminação, o ransomware parte a ação impeditiva, ou seja, executa as instruções que bloquearão o sistema inteiro ou um conjunto de arquivos. Como essa ação é executada? Tudo depende da forma como o malware foi escrito e dos recursos explorados.
Um ransomware pode, por exemplo, explorar uma falha de segurança que permite a troca da senha de um sistema. Em casos como esse, o responsável pela praga contata a vítima de alguma forma para que ela pague (ou realize outra ação) para ter a senha antiga reestabelecida ou conhecer a nova.
Outra abordagem — esta bastante explorada — consiste em instalar pequenos softwares que exibem uma tela de bloqueio que, como tal, impedem que o usuário acesse recursos do sistema ou um conjunto de arquivos. Perceba que os dados estão lá, mas há um bloqueio no caminho até eles.
Para fazer pressão psicológica, algumas telas de bloqueio até exibem um contador dizendo que, se o pagamento não for feito até tal hora, todos os arquivos serão deletados. Um ransomware chamado Jigsaw (inspirado nos filmes Jogos Mortais), identificado em 2016, agia assim: o usuário tinha 72 horas para efetuar o pagamento; a cada hora, uma parte dos dados era deletada para aumentar o senso de urgência.
A situação fica mais grave quando servidores ou sistemas corporativos são atacados: como nenhum usuário consegue acessar o sistema, impedindo completamente o funcionamento da aplicação, a pressão acaba sendo ainda maior.
Um ransomware de bloqueio de tela que ficou relativamente famoso é o WinLock, que surgiu na Rússia em 2010. O bloqueio exibia uma mensagem com uma imagem de teor erótico e exigia que o usuário usasse um sistema de pagamento por SMS no valor de US$ 10 para ficar livre do invasor. Os responsáveis pelo WinLock foram presos (após obterem US$ 16 milhões com o esquema), mas variações surgiram nos anos seguintes.
Crypto-ransomware
Os ransomwares que, de fato, criptografam dados são os que mais aparecem atualmente. Tanto que já receberam nome: crypto-ransomware. Há várias razões para o crescente surgimento dessa variedade. Uma é o fato de computadores e dispositivos móveis (tablets e smartphones) terem, hoje, poder de processamento suficiente para criptografar arquivos rapidamente. A outra é que, como só o invasor tem as chaves criptográficas usadas no ataque, fica muito difícil para a vítima recuperar os arquivos afetados.
Outra razão para o fortalecimento dos crypto-ransomwares é que, mesmo quando eles são removidos do sistema operacional, os arquivos criptografados permanecem dessa forma. Assim, as chances de o usuário "se render" e aceitar fazer o pagamento aumentam consideravelmente.
Um dos crypto-ransomwares mais conhecidos é o CryptoLocker, que utilizava criptografia do tipo RSA de até 2048 bits. Quando esse malware bloqueava dados, exibia uma mensagem na tela informando que o usuário só teria seus arquivos de volta (documentos, fotos, vídeos, etc.) se pagasse valores que variavam entre US$ 100 e US$ 500 (outras moedas também foram usadas, como o euro).
Repare como a abordagem do CryptoLocker é inteligente: a praga pede valores relativamente baixos porque, assim, o usuário pode entender que não terá grande prejuízo para recuperar seus arquivos. Se um número grande de pessoas efetuar o pagamento, o "lucro" tende a ser muito alto.
Não é raro, porém, crypto-ransomwares cobrarem valores elevados, na casa das dezenas ou mesmo centenas de milhares de dólares. Normalmente isso acontece com crypto-ransomwares mais sofisticados, que podem paralisar sistemas inteiros de uma organização.
Métodos de pagamentos explorados
Por envolver extorsão, o desenvolvimento e a disseminação de ransomwares podem ser consideradas atividades criminosas, razão pela qual os responsáveis por esses malwares costumam ser bastante cuidadosos: uma operação de pagamento pode ser rastreada rapidamente pelas autoridades.
Dificilmente você verá um ransomware exigindo pagamento em serviços conhecidos, como o PayPal (que possui um sistema avançado de combate a fraudes), ou diretamente em contas bancárias, a não ser quando estas pertencem a terceiros — os chamados "laranjas".
É mais frequente o uso de serviços de pagamentos menos conhecidos ou mais discretos, como aqueles que são usados em sites de apostas ou conteúdo erótico. Mas, como estes também podem ser rastreados, é cada vez mais comum o uso das chamadas criptomoedas, com destaque para o Bitcoin.
Explicando rapidamente, o Bitcoin é uma espécie de "moeda digital" baseada em criptografia. Assim, é possível proteger as transações, o que evita (ou dificulta ao extremo) que a origem e o destino do pagamento sejam rastreados.
Por conta disso, o Bitcoin é bastante utilizado em atividades ilegais (mas atividades legais também podem se beneficiar dessa moeda virtual, é bom destacar). Porém, como o uso desse meio é mais complexo, os criminosos preferem trabalhar com o Bitcoin apenas quando valores altos estão em jogo.
Como se proteger dos ransomwares
Os cuidados preventivos em relação aos ransomwares praticamente não diferem das medidas de segurança recomendadas no combate a outros malwares. Eis as práticas mais indicadas:
- Tome cuidado com anexos e links em e-mails, especialmente com mensagens em nome de bancos, lojas ou autoridades judiciais: o teor desses e-mails tenta te deixar preocupado para você clicar ali sem pensar.
Ransomware é um tipo de software malicioso (malware) criado com o intuito de bloquear o acesso a arquivos ou sistemas para só liberá-los após o pagamento de um valor especificado. É como se fosse um sequestro, mas virtual. Nas próximas linhas, você entenderá melhor o que é ransomware, terá dicas de prevenção e verá instruções sobre como agir caso seu computador ou sistema seja infectado por uma praga do tipo.
Ransomwares: os malwares sequestradores
A palavra ransomware já deixa claro a razão de esse tipo de malware ser tão assustador: "ransom" é um termo em inglês que é usado em referência a resgate, exigir resgate, pagar para resgatar e assim por diante. A associação de ransomwares com práticas de sequestro, portanto, não é exagero.
Apesar de serem vistos como um problema de segurança recente, os ransomwares não são um conceito novo: as primeiras referências a esse tipo de praga digital remetem ao final da década de 1980.
Naquela época, era possível encontrar um vírus de DOS chamado Casino que, todo dia 15 de abril, copiava dados da memória RAM e do sistema de arquivos FAT, e apagava todo o conteúdo do HD. O usuário não tinha que desembolsar nenhum dinheiro, mas só podia recuperar os dados se pontuasse em um jogo estilo caça-nível que o Casino exibia na tela.
Mas, naquela época, já existiam malwares desenvolvidos com o intuito de extorquir dinheiro da vítima. O PC Cyborg, cujas primeiras aparições datam de 1989, era um malware distribuído por disquete que criptografava a unidade C:\ e exigia pagamento em dinheiro —frequentemente no valor de US$ 189 — em nome da PC Cyborg Coporation para liberar os dados. Várias versões desse invasor foram desenvolvidas nos anos seguintes, todas com o mesmo intuito.
Na verdade, o PC Cyborg reescrevia apenas o arquivo de sistema autoexec.bat, ocultava pastas e criptografava os nomes de arquivos na unidade C. Ransomwares realmente capazes de criptografar conteúdos inteiros só viriam a surgir anos mais tarde. A maioria se limitava a ações mais simples: alteração de nomes de arquivos, exibição de uma tela com uma ameaça e assim por diante.
Os primeiros ransomwares modernos com poder significativo de alcance surgiram por volta de 2005 com pragas como Krotten, Cryzip e MayArchive, que utilizavam criptografia RSA para bloquear dados ou sistemas e exigir pagamentos para a liberação.
De lá para cá, a incidência de ransomwares não para de crescer. O motivo é óbvio: a internet facilita a disseminação. Além disso, esse tipo de praga tem potencial de gerar grandes quantidades de dinheiro para criminosos que atuam em meios on-line.
Como um ransomware se propaga
Os mecanismos de propagação dos ransomwares não são diferentes dos métodos usados para disseminar vírus e outros malwares: e-mails, redes sociais (como Facebook e Twitter), serviços de mensagens instantâneas (como WhatsApp e Skype) e sites falsos são os meios mais usados para esse fim.
Em praticamente todos há alguma tática de engenharia social: a mensagem é acompanhada de um argumento que tenta te convencer a clicar em um link ou anexo que leva ao ransomware. O texto pode dizer, por exemplo, que você tem uma dívida não paga, uma pendência com a justiça, uma atualização de segurança do banco ou um convite para visualizar fotos íntimas de uma personalidade famosa. Note como esses textos tentam assustar o usuário ou aguçar a curiosidade. Em ambas as circunstâncias, a pessoa tende a ter menos cuidado e, aí, clica no link ou no anexo. Também é comum o ransomware se passar por antivírus, jogo ou aplicativo. Nesses casos, o usuário pode cair em uma página que promove aquele software ressaltando as suas vantagens. A pessoa, então, é levada a acreditar que o software é legítimo. Mas, quando o instala, acaba permitindo que o malware contamine o seu computador ou dispositivo móvel.
Há casos de ransomwares que exploram falhas no sistema operacional, em aplicativos ou em plug-ins (como Java e Flash), mas o uso de técnicas de engenharia social tem mesmo mais efeito. Imagine, por exemplo, que você recebeu um e-mail de uma loja de comércio eletrônico avisando que o seu pedido já está em rota de entrega. Acontece que você não fez nenhuma compra! Curioso, você clica no link que supostamente dá mais detalhes sobre o pedido e acaba baixando o malware.
Você nunca cairia em truque desses? Que bom! Mas muita gente caiu: essa tática foi usada no primeiro semestre de 2016 para disseminar um ransomware de nome Locky. Nesse caso, os e-mails estavam em nome da Amazon, uma das mais conhecidas lojas de comércio eletrônico do mundo.
Como os ransomwares agem
Após a contaminação, o ransomware parte a ação impeditiva, ou seja, executa as instruções que bloquearão o sistema inteiro ou um conjunto de arquivos. Como essa ação é executada? Tudo depende da forma como o malware foi escrito e dos recursos explorados.
Um ransomware pode, por exemplo, explorar uma falha de segurança que permite a troca da senha de um sistema. Em casos como esse, o responsável pela praga contata a vítima de alguma forma para que ela pague (ou realize outra ação) para ter a senha antiga reestabelecida ou conhecer a nova.
Outra abordagem — esta bastante explorada — consiste em instalar pequenos softwares que exibem uma tela de bloqueio que, como tal, impedem que o usuário acesse recursos do sistema ou um conjunto de arquivos. Perceba que os dados estão lá, mas há um bloqueio no caminho até eles.
Para fazer pressão psicológica, algumas telas de bloqueio até exibem um contador dizendo que, se o pagamento não for feito até tal hora, todos os arquivos serão deletados. Um ransomware chamado Jigsaw (inspirado nos filmes Jogos Mortais), identificado em 2016, agia assim: o usuário tinha 72 horas para efetuar o pagamento; a cada hora, uma parte dos dados era deletada para aumentar o senso de urgência.
A situação fica mais grave quando servidores ou sistemas corporativos são atacados: como nenhum usuário consegue acessar o sistema, impedindo completamente o funcionamento da aplicação, a pressão acaba sendo ainda maior.
Um ransomware de bloqueio de tela que ficou relativamente famoso é o WinLock, que surgiu na Rússia em 2010. O bloqueio exibia uma mensagem com uma imagem de teor erótico e exigia que o usuário usasse um sistema de pagamento por SMS no valor de US$ 10 para ficar livre do invasor. Os responsáveis pelo WinLock foram presos (após obterem US$ 16 milhões com o esquema), mas variações surgiram nos anos seguintes.
Crypto-ransomware
Os ransomwares que, de fato, criptografam dados são os que mais aparecem atualmente. Tanto que já receberam nome: crypto-ransomware. Há várias razões para o crescente surgimento dessa variedade. Uma é o fato de computadores e dispositivos móveis (tablets e smartphones) terem, hoje, poder de processamento suficiente para criptografar arquivos rapidamente. A outra é que, como só o invasor tem as chaves criptográficas usadas no ataque, fica muito difícil para a vítima recuperar os arquivos afetados.
Outra razão para o fortalecimento dos crypto-ransomwares é que, mesmo quando eles são removidos do sistema operacional, os arquivos criptografados permanecem dessa forma. Assim, as chances de o usuário "se render" e aceitar fazer o pagamento aumentam consideravelmente.
Um dos crypto-ransomwares mais conhecidos é o CryptoLocker, que utilizava criptografia do tipo RSA de até 2048 bits. Quando esse malware bloqueava dados, exibia uma mensagem na tela informando que o usuário só teria seus arquivos de volta (documentos, fotos, vídeos, etc.) se pagasse valores que variavam entre US$ 100 e US$ 500 (outras moedas também foram usadas, como o euro).
Repare como a abordagem do CryptoLocker é inteligente: a praga pede valores relativamente baixos porque, assim, o usuário pode entender que não terá grande prejuízo para recuperar seus arquivos. Se um número grande de pessoas efetuar o pagamento, o "lucro" tende a ser muito alto.
Não é raro, porém, crypto-ransomwares cobrarem valores elevados, na casa das dezenas ou mesmo centenas de milhares de dólares. Normalmente isso acontece com crypto-ransomwares mais sofisticados, que podem paralisar sistemas inteiros de uma organização.
Métodos de pagamentos explorados
Por envolver extorsão, o desenvolvimento e a disseminação de ransomwares podem ser consideradas atividades criminosas, razão pela qual os responsáveis por esses malwares costumam ser bastante cuidadosos: uma operação de pagamento pode ser rastreada rapidamente pelas autoridades.
Dificilmente você verá um ransomware exigindo pagamento em serviços conhecidos, como o PayPal (que possui um sistema avançado de combate a fraudes), ou diretamente em contas bancárias, a não ser quando estas pertencem a terceiros — os chamados "laranjas".
É mais frequente o uso de serviços de pagamentos menos conhecidos ou mais discretos, como aqueles que são usados em sites de apostas ou conteúdo erótico. Mas, como estes também podem ser rastreados, é cada vez mais comum o uso das chamadas criptomoedas, com destaque para o Bitcoin.
Explicando rapidamente, o Bitcoin é uma espécie de "moeda digital" baseada em criptografia. Assim, é possível proteger as transações, o que evita (ou dificulta ao extremo) que a origem e o destino do pagamento sejam rastreados.
Por conta disso, o Bitcoin é bastante utilizado em atividades ilegais (mas atividades legais também podem se beneficiar dessa moeda virtual, é bom destacar). Porém, como o uso desse meio é mais complexo, os criminosos preferem trabalhar com o Bitcoin apenas quando valores altos estão em jogo.
Como se proteger dos ransomwares
Os cuidados preventivos em relação aos ransomwares praticamente não diferem das medidas de segurança recomendadas no combate a outros malwares. Eis as práticas mais indicadas:
- Tome cuidado com anexos e links em e-mails, especialmente com mensagens em nome de bancos, lojas ou autoridades judiciais: o teor desses e-mails tenta te deixar preocupado para você clicar ali sem pensar.
Nenhum comentário:
Postar um comentário