Ataques de Ransomware e como lidar com eles

Tabela de conteúdos

Fala-se muito sobre o Ransomware na notícia nos dias de hoje. O que é surpreendente é que poucas pessoas sabem o que significa e o que acontece se você for atacado.

Aqui está um resumo das medidas que você pode tomar para se proteger e o que fazer se o pior acontecer.

O que é o Ransomware?

Ransomware é uma categoria de malware usada para tentar extrair dinheiro de suas vítimas – em troca de um resgate. A maioria dos programas é concebida para entrar silenciosamente em seu sistema e codificar lentamente os seus arquivos. Somente depois de terminar a criptografia, eles apresentam um aviso mortal – pagar ou perder os seus arquivos para sempre.

Nenhum sistema de segurança é infalível. O malware faz questão de estar um passo à frente do jogo. Se você for atacado, aqui estão algumas regras úteis para ajudá-lo:

Passo 1: minimize o dano

Em primeiro lugar, isole o sistema que foi afetado, especialmente se ele estiver conectado à sua rede para evitar que outros sistemas sejam infectados.

Se você for um administrador de TI e os seus servidores estiverem infectados, desconecte todos os cabos Ethernet.

Não tente fazer backup copiando arquivos para um disco externo. Você pode pensar que é uma boa ideia salvar arquivos ainda não criptografados, mas pode espalhar o malware. Quando você insere um disco/USB no computador infectado, o malware pode se copiar novamente para a unidade recém-inserida.

Quando essa unidade/USB é inserida em algum outro computador, o malware pode infectar esse sistema também. Ou pior, você pode acabar com uma nova infecção do seu próprio sistema depois de fazer todos os esforços para limpá-lo. Por isso, é melhor apenas colocar em quarentena o computador afetado.

Passo 2: identifique o tipo de ransomware

Existem vários tipos de ransomware, alguns são mais perigosos e difíceis de enfrentar do que outros. Você pode usar diferentes estratégias para se livrar deles de acordo com o tipo e característica de seu ataque. Os tipos mais comuns pertencem a essas categorias:

  1. Scareware/Antivírus falso
    Scareware, também conhecido como falso antivírus, é uma categoria de malware que engana os usuários levando-os a creditar que há algo errado com o sistema deles.
    Que eles precisam comprar algum outro software para limpá-lo. Claro, não há nada de errado com o computador e, na maioria das vezes, a compra é de softwares que resulta em uma infecção real.
    Na maioria dos casos, ele funciona exibindo uma mensagem pop-up que anuncia problemas como um vírus que foi encontrado, sistema devagar ou problemas de registro para serem resolvidos em grande texto em negrito no meio da tela. Ele também pode conter clickbait, que redireciona o usuário para o site de malware mesmo quando o popup está fechado. Aqui está a imagem de um:
    O Scareware é provavelmente o mais fácil de lidar de todos os malware. Basta fechar a guia do navegador e a popup desaparecerá. Se você estiver recebendo telas pop-up no seu sistema operacional, talvez seja necessário identificar o arquivo executável culpado usando o Gerenciador de Tarefas ou um explorador de processos avançado. Então, basta excluí-lo ou desinstalá-lo. Se você ainda tiver problemas, faça uma verificação com um programa antivírus ou antimalware.
  2. Ransomware bloqueador de tela
    Esta categoria de ransomware não permite que você execute o seu computador até pagar um resgate. Na maioria dos casos, uma janela de tela cheia é exibida com um aviso prévio. Ele pode alegar ser do FBI e que se trata do download ilegal de conteúdo online. Em outros casos, uma imagem pornográfica é definida como papel de parede e ela não pode ser alterada. Ele conta com a vergonha da vítima para pagar o dinheiro. Os programas mais avançados acompanham a atividade do usuário por alguns dias e exibem um aviso personalizado tornando-o mais credível e intimidante. Aqui está um exemplo:
    Se você está infectado por um desses, tente identificar o executável que o causou em primeiro lugar. Na maioria dos casos, simplesmente pressionando CTRL + ALT + DEL o levará ao Gerenciador de Tarefas e o programa pode ser fechado.
    Mesmo depois de excluir o executável, é uma boa ideia executar uma verificação antivírus completa para remover os vestígios. Se essas soluções não funcionarem, talvez seja necessário restaurar ou recuperar o Windows para levá-lo para um estado em que o malware não estava lá ou estava inativo.
  3. Ransomware de criptografia de arquivos
    A última e a mais perigosa categoria é aquela dos programas que criptografam todos os seus arquivos e os deixam inutilizáveis a menos que você pague um resgate para os chantagistas. Normalmente, eles entrarão no sistema da vítima e, silenciosamente, começarão a criptografar todos os arquivos, tornando-os completamente inutilizáveis.
    Quando terminar, eles exigirão o pagamento para descriptografá-los de volta. Hoje em dia, as moedas criptográficas como bitcoin e o anonimato que elas fornecem são uma ótima forma para que os atacantes obtenham o pagamento. Esta é a imagem que os usuários atacados pelo Wannacry viram:
    Também pode valer a pena entender exatamente como a criptografia funciona. Isso pode ajudá-lo a obter pistas sobre como você pode descriptografar os seus arquivos.
    A maioria dos programas usa uma combinação de criptografia simétrica e assimétrica quando eles são executados (clique aqui para obter mais informações sobre os tipos de criptografia). A criptografia simétrica é útil porque permite que o invasor criptografe arquivos mais rapidamente do que a assimétrica. A criptografia assimétrica, no entanto, significa que os atacantes só precisam proteger uma chave privada. Caso contrário, eles precisariam manter e proteger chaves simétricas para todas as vítimas.

Os servidores de comando e controle (C&C) geralmente são usados para comunicação de programa. É assim que o ransomware de criptografia de arquivos usa criptografia simétrica e assimétrica para realizar um ataque:

  • Uma chave pública privada é gerada no final do ataque usando qualquer um dos muitos algoritmos de criptografia assimétrica disponíveis, como o RSA 256.
  • As chaves privadas são protegidas pelo atacante, enquanto as públicas são incorporadas no programa de ransomware.
  • Um novo sistema de vítimas é infectado pelo ransomware. Ele envia a informação juntamente com a ID exclusiva do sistema ou ID da vítima para o servidor C&C.
  • Usando um dos algoritmos de criptografia simétricos (por ex., AES), o servidor gera e envia a chave simétrica especificamente para o sistema dessa vítima. A chave simétrica é então criptografada usando a particular.
  • O programa ransomware usa a chave pública incorporada para descriptografar a simétrica – então começa a criptografar todos os arquivos.

Agora que você sabe como exatamente o ransomware opera, vamos ver as suas opções quando o seu sistema está infectado.

Passo 3: decida sobre a estratégia

Nós discutimos métodos para remover as duas primeiras categorias de ransomware de forma relativamente fácil acima.

Os programas de criptografia de arquivos são mais difíceis de excluir. Primeiro, você terá que identificar o tipo de malware com o qual está lidando. As informações podem ser escassas para programas mais recentes, pois os novos são escritos todos os dias. Mas na maioria dos casos, você vai conseguir identificá-lo com uma pequena pesquisa.

Tente fazer capturas de tela da nota de resgate e, em seguida, pesquise pelas imagens para identificar o tipo exato de ransomware. Você também pode pesquisar as frases usadas no texto da nota.

Decida se deseja ou não pagar o resgate. Embora não seja recomendado você pagar os atacantes, pois apenas os motiva, às vezes, os seus dados são muito confidenciais ou importantes para perder. Use o seu julgamento e não pague a menos que seja absolutamente necessário.

No pior caso, é claro, você deve considerar que não há garantia de que vai recuperar os seus dados mesmo depois de pagar.

Passo 4: tome uma atitude

Se você conseguir identificar os detalhes do ransomware que infectou o seu computador, procure formas de removê-lo com uma pesquisa na Web. O código de malware sempre é ineficiente. O desenvolvedor pode ter se esquecido de excluir a chave de criptografia do programa que busca e criptografa os arquivos.

Se o ransomware é bem conhecido e há algumas lacunas, você poderá encontrar tutoriais e guias online para removê-lo em sites como o nomoreransom.org.

Uma vez que muitos programas de restauração simplesmente excluem os arquivos originais depois de criptografar a sua cópia, pode ser possível recuperá-los usando o software de recuperação de dados. Quando você exclui um arquivo, ele não é realmente excluído fisicamente do disco, a menos que seja substituído por outro. Portanto, deve ser possível recuperar dados importantes usando o software de recuperação gratuito.

Se nenhum deles for bem-sucedido, uma decisão deve ser tomada. Pague o resgate ou perca os seus dados. Mesmo que você pague, é claro, não há garantias de recuperar os seus dados. É um julgamento onde você depende da boa fé dos atacantes.

Você também pode tentar negociar com os atacantes usando o endereço de e-mail fornecido na nota de resgate. Você ficaria surpreso com a frequência com que isso funciona.

Se decidir não pagar o resgate, o próximo passo é limpar o seu PC, mas você perderá os seus dados para sempre. Se tiver um backup em um disco externo, NÃO o conecte ao seu PC antes de formatá-lo completamente.

A melhor forma de limpar o ransomware é a formatação do disco rígido do seu sistema operacional. Se você não quiser dar um passo tão drástico, certifique-se de que o Ransomware não infecte o setor de inicialização. Você encontrará informações sobre isso na Internet.

Em seguida, atualize o seu antivírus e faça uma análise completa e profunda do seu sistema. Também é uma boa ideia complementar o antivírus com um programa antimalware para proteção total. Isso deve remover o ransomware para sempre.

Passo 5: faza uma avaliação

Agora que você está livre do Ransomware, é hora de ver por que foi atacado em primeiro lugar. Como um homem sábio disse uma vez: “Prevenir é melhor do que remediar” e isso se aplica à segurança online mais do que a qualquer outra coisa. Uma defesa é apenas tão forte quanto o usuário e, com as proteções adequadas, é difícil para qualquer malware atacar.

Esteja atento e tenha em mente esses pontos:

  1. Mantenha o seu antivírus sempre atualizado.
  2. Verifique sempre a URL do site que você está visitando.
  3. Não execute programas não confiáveis ​​no seu sistema. Coisas como cracks, números de série, patches, etc. são as fontes mais comuns de malware.
  4. Não permita que sites não confiáveis ​​executem conteúdo executável no seu navegador.
  5. Mantenha o seu sistema operacional atualizado. O malware, incluindo o ransomware, é comumente espalhado por vulnerabilidades de segurança não corrigidas em sistemas operacionais mais antigos. Um hack, por exemplo, pode explorar um bug no software RDP do Windows para obter acesso ao sistema conectado publicamente à Internet e executar o malware.

Alerta de privacidade!

Seus dados estão sendo expostos aos sites que você visita!

Seu endereço IP:

Sua localização:

Seu provedor de Internet:

As informações acima podem ser usadas para rastreá-lo, direcionar anúncios para você e monitorar o que você faz online.

As VPNs podem ajudá-lo a ocultar essas informações dos sites para que você esteja protegido o tempo todo. Recomendamos a NordVPN — a VPN nº 1 entre mais de 350 provedores que testamos. Ela possui criptografia de nível militar e recursos de privacidade que vão garantir sua segurança digital, e mais — ela está oferecendo atualmente 68% de desconto.

Visite a NordVPN

Isto foi útil? Compartilhe.
Gostou desse artigo? Avalie!
Eu detestei Eu não gostei Achei razoável Muito bom! Eu adorei!
Votado por usuários
Comentar O comentário deve ter de 5 a 2.500 caracteres.
Obrigado pelo seu feedback.