Ransomware: conheça o invasor que sequestra o computador

O que é?

É um tipo de malware que restringe o acesso ao sistema infectado e cobra um valor de "resgate" para que o acesso possa ser restabelecido.

Não existe melhor forma de definir os ransomwares do que como “sequestradores digitais”.

Um exemplo deste tipo de malware é o .CrySiS (o qual a empresa de um amigo meu foi infectada), que criptografa TODOS os arquivos no computador da vítima com os algoritmos RSA-1024 e AES-256, para desespero das vítimas, trancam o computador sem dó nem piedade, e logo após deixa um “bilhete de resgate” e informa que os arquivos somente poderão ser recuperados com o uso de um software que a vítima receberá após efetuar um pagamento em moeda virtual (BITCOIN).

Trata-se de um golpe ou de fato uma ação extorsiva, pois os crackers podem fornecer, ou não, o software para descriptografar os arquivos após o pagamento deste "resgate".

Os Ransomwares não permitem acesso externo ao computador infectado como os trojans, a maioria é criada com o propósito comerciais, geralmente são detectados pelos antivírus com uma certa facilidade pois costumam gerar arquivos criptografados grandes, embora alguns possuam opções que escolhem inteligentemente quais pastas criptografar, ou então, permitem que o atacante escolha quais as pastas de interesse.

Os vilões por trás dos ransomwares

Ao que tudo indica, os desenvolvedores fraudulentos são russos e usam endereços de IP da China — pelo menos é o que serviços de inteligência conseguiram calcular. Através de nomes falsos e contas virtuais hospedadas em serviços como E-Gold e Liberty Reserve, os estelionatários agem sem deixar tantas pistas, comunicando-se com emails aleatórios.

Só para se ter uma ideia, os algoritmos bloqueadores presentes nos trojans atuais exigiriam, para uma decodificação completa, 15 milhões de anos de processamento em um computador atual. Até hoje, ninguém conseguiu encontrar o nome do autor e fornecedor do GpCode.

Como se prevenir?

1. Fazer backup periódico dos dados

Ao adotar o procedimento, não será um grande problema perder as informações da máquina. É importante lembrar que Cryptolocker, um tipo ransomware, também criptografa arquivos em unidades de rede mapeadas. Isso inclui todas as unidades externas, tais como pen drives, espaços de armazenamento na rede ou em nuvem, para a qual existe uma letra de unidade atribuída.

2. Mostrar as extensões ocultas dos arquivos

É muito comum que Cryptolocker se apresente como um arquivo com dupla extensão, como por exemplo “PDF.EXE”. Portanto, se a função é desligada para ocultar as extensões dos tipos de arquivo, será mais difícil detectar suspeitos.

3. Filtrar os arquivos .EXE de correio eletrônico

Se o seu sistema tem uma ferramenta que lhe permite filtrar anexos por extensão, é útil configurá-lo para rejeitar e-mails que tenham arquivos "EXE" ou extensão dupla.

4. Use o kit para prevenir Cryptolocker

O kit de prevenção de Cryptolocker é a criação de uma política de grupo para desativar arquivos em execução. Além disso, desativa os executáveis que se abrem a partir do diretório Temp de diversos utilitários para compactar arquivos.

5. Desativar RDP

O malware Cryptolocker/Filecoder acessa as máquinas mediante o Protocolo de escritório remoto (RDP, em inglês), uma unidade de Windows que permite o acesso a máquinas de um escritório de forma remota. Se não for preciso usar o protocolo RDP, é conveniente desabilitá-lo para proteger a máquina de Filecoder e outros exploits RDP.

*Caso precise utilizar este tipo de serviço utilize VPN ou troque a porta de escuta.

6. Mantenha o software do equipamento sempre atualizado

Atualizar o software com frequência reduz significativamente a possibilidade de se tornar vítima de um ransomware, bem como de outras ameaças.

7. Use um software de segurança confiável

Tenha um software antimalware e um firewall que ajudem a identificar ameaças ou comportamento suspeito e o configure com senha, já que uma das ações do malware antes de infectar o equipamento é desabilitar o software de segurança. Além disso, os cibercriminosos frequentemente lançam novas variáveis para evitar a detecção, por isso é importante ter as duas camadas de proteção.

8. Desligue o Wi-Fi ou remova o cabo de energia imediatamente

Se um arquivo que pode ser um ransomware é executado, mas a exibição característica de resgate de equipamentos não é exibida, você pode parar a comunicação com o servidor C&C (Comando e Controle) antes de terminar a criptografia dos arquivos, também é importante desligar o computador imediatamente direto pelo cabo de energia.

9. Use o recurso Restauração do sistema para reverter a um estado sem infecção

Se "System Restore" está habilitado no seu computador com Windows, é possível voltar a um estado sem infecções.