O que é um ataque de Ransomware? Entenda e saiba como evitar

O que é ransomware? 

Ransomware é um software malicioso que se infiltra nos dispositivos, ganha acesso a eles e criptografa ou todo o sistema operacional, ou então somente alguns arquivos da vítima afetada por ele.

Com isso em mãos, o usuário não consegue mais ter acesso aos arquivos afetados e, por vezes, ao dispositivo como um todo, quando o sistema operacional está infectado. Então, o ransomware realiza um pedido de pagamento em troca da liberação dos arquivos. Isso mesmo. É feito um pedido de resgate por parte do ransomware para liberar o usuário a voltar a ter acesso ao seu computador ou celular. Este pedido de pagamento de dinheiro costuma ser feito em criptomoeda.

A palavra ransomware inclusive, vem da palavra “ransom” em inglês, que em português significa resgate. Ou seja, a vítima só consegue se livrar dos problemas causados pelo ransomware se realizar o pagamento do resgate do seu dispositivo. É basicamente um crime de extorsão realizado virtualmente.

O ransomware é um tipo de malware, ou seja, um software malicioso criado para cometer crimes virtuais, assim como muitos outros vírus que existem por aí. Sua peculiaridade e principal diferença entre os outros é justamente esta característica de sequestrar, utilizando criptografia, os arquivos ou sistema operacional todo do usuário e somente fazer a liberação após o pagamento do valor solicitado ser feito.

Os ransomwares não são novidade entre os crimes virtuais. Na realidade, o primeiro ataque documentado de ransomware no mundo, foi no ano de 1989, e foi executado e distribuído entre os computadores por meio de disquetes. Depois disso, houve muita evolução e diversos modelos diferentes apareceram. Hoje em dia, o ransomware já chega aos dispositivos de outras formas, como veremos a seguir.

Como um ransomware atua? 

Como já pudemos ver, o objetivo principal de um ataque de ransomware é de obter ganhos financeiros com o pagamento de um resgate pela devolução do acesso a alguns arquivos, ou a todo o sistema operacional, do computador atacado.

Mas como funciona esse processo até chegar ao pedido de resgate? Vamos entender melhor como o ransomware atua desde o momento em que entra no dispositivo até o momento da liberação dos arquivos comprometidos.

Em primeiro lugar, é preciso saber que o ransomware pode infectar o dispositivo eletrônico através de praticamente todas as mesmas formas utilizadas por outros ataques de malware. Ou seja, um e mail ou mensagem de phishing, por exemplo, que contenha um anexo infectado, um link suspeito que o usuário clica na internet e leva para uma página clonada, um arquivo baixado na internet e outros tipos de ataques que envolvem engenharia social.

O ransomware também pode se aproveitar de falhas do sistema operacional e vulnerabilidades para entrarem no sistema, assim como qualquer outro malware. Além dessas formas, também existem outras como o roubo de credenciais do usuário para infectar diretamente o dispositivo, ou ainda usar outros malwares, como o cavalo de troia, por exemplo, para entrar no computador.

É importante também saber que os ransomwares podem agir de duas formas, a depender do seu tipo. Eles podem afetar tanto as funções básicas do computador (ransomware de bloqueio ou ransomware locker), como podem afetar somente alguns arquivos com criptografia (ransomware de criptografia ou crypto ransomware).

Então, uma vez dentro, o ransomware vai trabalhar para entender o sistema local e iniciar um processo de busca por informações e dados valiosos para serem roubados. Essa busca é feita para encontrar arquivos que realmente sejam importantes e que possam valer a pena um pagamento de resgate por parte da vítima.

Normalmente, é feito um download desses dados escolhidos, que podem ser informações pessoais dos usuários, logins e senhas, propriedade intelectual, entre muitos outros.

O próximo passo utilizado pelo ransomware é criptografar esses arquivos e, inclusive, em alguns casos, desativar recursos que possam restaurar o sistema, para que o usuário não consiga recuperá-los. No ataque de ransomware de bloqueio, o dispositivo passa a ficar inacessível para a vítima.

Na última etapa, inicia-se o pedido de resgate. As vítimas recebem uma mensagem dizendo que para recuperarem os arquivos, ou então para terem acesso ao seu dispositivo novamente, devem pagar uma quantia determinada. Normalmente, essa quantia é paga através de criptomoedas.

Ransomware vs malware: qual é a diferença?

O ransomware é, na realidade, um tipo de malware. Os malwares, como sabemos, são softwares maliciosos criados para entrar nos computadores, smartphones, tablets ou qualquer outro dispositivo eletrônico, com a finalidade de roubar informações, danificar arquivos e sistemas, espionar o usuário, entre outros.

Portanto, não há diferença entre ransomware e malware já que o ransomware faz parte da família dos malwares. Ele é somente um tipo de malware que bloqueia o acesso das vítimas aos seus próprios arquivos ou dispositivos e solicita resgate para devolvê-los.

Hoje em dia, os tipos de chantagens e extorsões realizados pelo ransomware podem ir além do pedido de resgate para devolver o acesso. Eles também realizam chantagens como, por exemplo, ameaças de divulgar conteúdos particulares na web caso o pagamento não seja feito.

É importante ressaltar que, apesar de um grande número de vítimas afetadas pagarem o resgate solicitado para ter seus arquivos novamente, esta não é a recomendação dos serviços de proteção e agências de segurança pública. A recomendação é que qualquer ataque de ransomware seja relatado às autoridades, porém, que o pagamento não seja feito. Isso porque, ao pagar o resgate solicitado, entende-se que há um encorajamento da atividade, além da possibilidade de pagamentos adicionais, ou ainda o pagamento ser feito e os dados serem destruídos.

Tipos de ransomware

Como já citamos anteriormente, o ransomware basicamente se divide entre ransomware de bloqueio, que é aquele que vai atacar as funções básicas do computador, e o ransomware de criptografia, que atacará alguns arquivos individualmente, criptografando-os.

Porém, existem diversos modelos de ransomware, dentro desses dois grupos, agindo de formas diferentes e tendo objetivos diferentes. Vamos a seguir conhecer alguns dos mais famosos ransomwares. 

Crypto Locker

O Crypto Locker é bastante conhecido pois ele é um tipo de ransomware que ficou famoso por ser um dos primeiros dentro de uma nova era do ransomware, onde utilizava fortemente a criptografia nos arquivos das vítimas. Ele surgiu em 2013 e tinha como porta de entrada, principalmente, e mails de phishing e bot net, uma rede de computadores utilizados como robôs.

Locky

O Locky surgiu depois do Crypto Locker, ali pelo ano de 2016. Ele também tinha como meio de propagação mensagens com anexos infectados e utilizava criptografia nos arquivos sequestrados, cujos resgates eram solicitados em Bitcoin.

Scareware

O nome scareware vem da palavra scare em inglês, que significa medo. Este tipo de ransomware costuma assustar as vítimas e colocar medo para que realizem alguma ação. Pode ser, por exemplo, um e mail que chega ao usuário dizendo que ele não pagou alguma multa e, caso não pague imediatamente, irá preso. 

Wannacry

O Wannacry foi um dos maiores e mais famosos ataques de ransomware de todos os tempos. Ele atingiu milhares de computadores em todo o mundo, entrando nos dispositivos através de uma vulnerabilidade do Microsoft Windows não corrigida pelos usuários. O prejuízo foi grande, estima-se que cerca de US$ 4 bilhões. 

Doxware

O Doxware é um tipo de ransomware que não somente rouba as informações e as criptografa para exigir o resgate, mas ele também ameaça publicar esses dados, normalmente confidenciais, que extrai, caso a vítima não faça o pagamento exigido.

Petya/NotPetya

Assim como o Wannacry, o Petya, que depois ficou mais conhecido como NotPetya, invadia os computadores através de vulnerabilidades do sistema. Ele surgiu em 2016 e criptografava todo o sistema de arquivos fazendo com que fosse impossível iniciar o Windows nos computadores afetados por ele. 

Wipers

O Wiper é um ransomware que ameaça destruir os arquivos afetados caso não seja pago o resgate solicitado. Em alguns casos, os arquivos são destruídos mesmo que o regaste tenha sido pago pela vítima.

Maze

Assim como outros ransomwares, o maze tem como uma de suas características o roubo de dados privados sensíveis e a ameaça de publicá-los caso a vítima não faça o pagamento exigido. Ele surgiu perto do ano 2.000.

SamSam

Este ransomware é focado em atingir computadores de organizações pertencentes ao serviço público. Ele explora vulnerabilidades e se espalha por toda a rede.

REvil/Sodinokibi

O Sodinokbi utiliza a abordagem RaaS para distribuir o ransomware e é conhecido por ter como alvo grandes companhias e solicitar o pagamento de resgates milionários. 

Sinais comuns de ransomware

O ransomware pode atingir tanto pessoas físicas quanto empresas, porém, é mais comum que o foco sejam empresas pela quantidade de dados privados que teriam para trabalhar. Assim, fizemos uma lista com alguns dos principais sinais de que a empresa, ou então a pessoa física, podem estar sofrendo com um ataque de ransomware mesmo sem ainda terem recebido nenhum pedido de resgate.

Esses sinais costumam aparecer nos computadores dos funcionários, ou computadores privados, e podem indicar infecção por ransomware. Porém, é preciso ficar atento pois eles também são sinais comuns de infecção por outros tipos de malwares.

• E mails suspeitos recebidos – Receber muitos e mails spam já é algo normal hoje em dia. Mas quando o usuário começa a receber muitos e mails suspeitos de uma hora para outra, pode ser uma forma de tentativas dos hackers para conseguir mais acesso dentro do computador.
• Novas extensões de arquivos – As extensões de arquivos podem ser utilizadas por hackers para criptografia. Assim, caso você se depare com extensões que não utiliza em seus arquivos, pode ser um sinal de suspeita.
• Comportamentos estranhos em padrões – Imagine uma falha que se repete todos os dias em um determinado horário, por exemplo. Isso pode ser simplesmente uma falha que será identificada e corrigida. Mas também pode ser parte de alguma tentativa de ataque de ransomware.
• Aumento do armazenamento do computador – Quando uma máquina está com algum malware, como um ransomware, atuando em segundo plano, isso pode ocasionar um aumento inesperado do armazenamento do computador. No caso do ransomware, as extensões utilizadas para a criptografia são as grandes responsáveis por este aumento do armazenamento.
• Encontrar dados criptografados – Se você se deparar com algum dado ou arquivo do seu computador que você não consegue mais acessar por estar criptografado, é um mal sinal. O seu equipamento pode já ter sido afetado por um ataque de ransomware.

Portanto, seja qual for o sinal, se perceber algo estranho, o ideal é procurar o serviço de TI da sua empresa e relatar o ocorrido. 

Como remover um ransomware? 

Infelizmente, se o seu computador tiver sido afetado por um ransomware, não existem muitas opções para recuperação dos arquivos perdidos, ou até mesmo do sistema completo do equipamento.

Vamos a seguir te mostrar quais são as suas opções de como remover um ransomware e explicar quais são as mais indicadas em quais situações.

Pagamento do resgate

O pagamento do resgate solicitado pelo hacker para liberar o acesso da vítima aos arquivos afetados é uma opção para se livrar do ransomware. Porém, esta não é a melhor opção e muito menos recomendada por especialistas em segurança virtual.

O pagamento do resgate, normalmente solicitado em Bitcoin, além de dar mais força ainda a esse tipo de ataque, não é nenhuma garantia de que, realmente, o usuário terá acesso aos arquivos ou que não terá as informações divulgadas.

Apostar no pagamento do resgate para ter as informações descriptografadas é apostar que os hackers cumprirão sua palavra, o que nem sempre ocorre. 

Remoção do malware com ferramentas de segurança cibernética

Para fazer a tentativa de remoção do ransomware com uma ferramenta antivírus, é imprescindível entender o estágio que este ataque se encontra. Quanto mais no início estiver, maiores as chances de eliminação e recuperação.

Caso o seu sistema antivírus ou qualquer outra ferramenta que utiliza para detecção de malwares tenha conseguido detectar o ransomware antes mesmo que o pedido de resgate tenha chegado até você, pode ser que seja possível eliminar este ransomware.

Com a eliminação do ransomware através de uma ferramenta de proteção cibernética, você vai conseguir estancar o problema e fazer com que ele não se propague mais. Porém, tudo que já tiver sido criptografado pelo ransomware, será de difícil recuperação caso não haja um backup dos dados externos ou então armazenamento em nuvem.

Restaurar o computador para as configurações de fábrica

Esta forma de se livrar do ransomware pode ser utilizada quando não houver outra opção de remoção e quando o resgate não for pago. Restaurando o computador para as configurações de fábrica, você elimina o ransomware, mas também não terá a recuperação dos arquivos que já foram comprometidos no ataque.

Seja qual for a forma escolhida para lidar com a eliminação do ransomware, é fundamental entender a importância de realizar o backup dos seus dados regularmente para reduzir os impactos gerados por um ataque como este.

Como evitar um ataque de ransomware? 

Os cibercrimes estão cada vez mais evoluídos e em constante mudança. Evitar por completo um ataque de ransomware ou de qualquer outro tipo de malware não é tarefa fácil. O que é possível, é tomar algumas atitudes para se proteger e prevenir ao máximo ser mais uma vítima de um ataque cibernético.

Realizar backups periódicos

Fazer sempre backups periódicos dos seus dados pode parecer algo básico para alguns, mas nem tanto para outros. Muitas pessoas ainda não têm o costume de realizar backup ou então ter seus dados na nuvem. Esse tipo de prevenção é fundamental.

Para se assegurar ainda mais, tenha cópias em lugares diferentes. Caso o servidor onde o seu seu backup inicial também seja afetado, por exemplo, você pode ainda ter os seus dados em um outro ambiente.

Realizar atualizações do sistema operacional e softwares sempre que forem solicitadas

Vulnerabilidade de sistemas não atualizados costumam ser porta de entrada para muitos tipos de ransomware. Isso porque eles justamente exploram vulnerabilidades dos sistemas que ainda não foram atualizados para realizar a correção.

Portanto, sempre que houver qualquer tipo de atualização disponível, o usuário deve fazer o mais breve possível para que não fique com seus equipamentos em risco.

Cuidado com e mail e mensagens de phishing

Assim como as vulnerabilidades de sistemas não atualizados podem ser utilizadas por ransomwares, os e mails phishing também são porta de entrada comum para este malware. Ao clicar em anexos comprometidos ou em algum link malicioso, o ransomware pode se instalar no computador.

O phishing chega ao usuário através de mensagens de texto ou de e mail que parecem estar vindo de fontes confiáveis, mas na realidade são criados justamente com o intuito de enganar a vítima e fazer com que ela abra um anexo ou clique em algum link malicioso.

Ter políticas de controle de acesso de sistemas, arquivos e e mails

Em empresas, é fundamental ter políticas de controle de acesso como, por exemplo, autenticações multifatoriais ou outras medidas de segurança que impeçam a propagação de um ataque de malware caso isso ocorra.

Realizar treinamentos de segurança cibernética na empresa

Treinamentos de segurança cibernética e engenharia social são importantíssimos nos dias de hoje para compreender os riscos que corremos e estarmos cientes dos golpes virtuais e ataques que podem acontecer, como o ransomware por exemplo. O conhecimento é sempre a melhor ferramenta para evitar ser vítima de cibercrimes.

Ter software antivírus atualizado

Por último, mas uma das mais importantes formas de evitar um ataque ransomware ou qualquer outro tipo de malware é ter uma ferramenta robusta e confiável de antivírus instalada e atualizada nos dispositivos.

Esses tipos de soluções de software de segurança fazem com que a detecção de um ataque virtual de um ransomware ou outro malware seja feita mais rapidamente e, com isso, os riscos de perda de dados são minimizados.

FAQs

Como funciona um ransomware?

Um ataque de ransomware funciona invadindo um equipamento e criptografando alguns arquivos e informações. Assim, o usuário fica sem acesso a eles e, para poder ter o acesso novamente, o hacker exige que seja pago um resgate em Bitcoin. 

O que acontece se você não pagar ransomware? 

O pagamento do resgate do ransomware não necessariamente garante que a vítima terá seu acesso restabelecido. Ao não pagar o resgate, é possível tentar outras formas de remoção do ransomware para tentar se livrar do malware ou então a restauração do dispositivo para as configurações de fábricas. Porém, nenhuma das alternativas garante o acesso aos arquivos criptografados. 

Quais são os dois tipos mais comuns de ransomware?

Os tipos mais comuns de ransomware são o ransomware de bloqueio e o ransomware de criptografia. No de bloqueio, todos os sistema do aparelho infectado será bloqueado, já no de criptografia, como o próprio nome diz, a criptografia será usada apenas em alguns arquivos individualmente.

É possível remover ransomware?

Existem algumas formas que podem ser utilizadas para tentar remover ransomware. Uma delas é o uso de um software de segurança como um antivírus e antimalware, que podem ajudar a eliminar o ransomware, porém, não necessariamente restaurar o acesso aos arquivos sequestrados. Outra forma é a restauração do computador para as configurações de fábrica.