O que é Ransomware?

 

Ransomware é um tipo de software malicioso (malware) que impede os utilizadores de acederem aos dispositivos ou ficheiros infetados a menos que seja pago um resgate.

Afeta computadores pessoais (desktops, laptops), servidores e outros dispositivos, como tablets e smartphones. Embora a maioria das infeções se registem em sistemas Windows, existem versões que afetam sistemas macOS, iOS, Linux e Android.

 

 

Como funciona o ransomware?

Um ataque de ransomware divide-se em três fases: infeção, sequestro e extorsão. Quando bem-sucedido, é rápido, podendo demorar apenas alguns minutos desde o início da infeção até à perda de acesso ao sistema/ficheiros e ao consequente pedido de resgate.

CryptoLocker, TorrentLocker, CryptoWall, Fusob, UltraCrypter e Locky são alguns dos nomes mais conhecidos de ransomware.

Infeção por ransomware

A infeção por ransomware depende da execução de um código malicioso. Para que isso aconteça, os atacantes recorrem a diversas estratégias. As mais comuns são o envio de mensagens de email com anexos maliciosos, atualizações de software falsas, exploração de falhas de segurança em versões antigas de software e sistemas operativos desatualizados.

Sequestro digital

As versões mais recentes de ransomware, denominadas cripto-ransomware, atuam de duas formas: bloqueiam o sistema infetado (blockers), tornando-o inutilizável, ou cifram ficheiros (cryptors), impossibilitando a sua abertura ou execução.

O ransomware recorre a métodos criptográficos eficientes para bloquear o sistema ou o acesso a documentos, apresentações, imagens, músicas e vídeos, entre outros tipos de ficheiros mais comuns. Na maioria dos casos de ransomware, é impossível restaurar o acesso aos ficheiros infetados sem a chave que apenas os atacantes possuem.

Quando infetado por ransomware, o sistema apresenta uma mensagem (surgindo uma nova janela ou alterando o fundo do ambiente de trabalho) com o procedimento a efetuar para pagar o resgate e remover o bloqueio.

Extorsão digital

Quando um computador, servidor ou outro dispositivo é infetado, é exigido o pagamento de um resgate, habitualmente em Bitcoins, para que seja fornecida a senha que permite voltar a ter acesso ao sistema ou ficheiros afetados. Apesar do que os atacantes possam afirmar, não é garantido que o utilizador volte a ter acesso ao sistema ou aos ficheiros.

Como se proteger de ransomware?

A prevenção é a forma mais adequada de proteção contra ransomware.
Se suspeita que foi infetado com ransomware, desligue o dispositivo da rede imediatamente.

Fazer cópias de segurança (backups) regularmente. Além de ransomware, os sistemas estão expostos a outros tipos de malware (vírus, trojans, spyware, etc.). É importante ter cópias de segurança para poder restaurar ficheiros fácil e rapidamente. É igualmente importante testar os backups para se verificar se estão a ser bem efetuados e se é possível serem restaurados corretamente.

Armazenar uma cópia de segurança recente numa unidade onde os ficheiros não possam ser alterados. O ransomware afeta ficheiros que tenham permissão de escrita, incluindo os que estão armazenados em pastas na cloud (Dropbox, Google Drive, One Drive, por exemplo) e unidades externas USB, entre outros suportes.

Utilizar software que permita neutralizar ameaças em tempo real, como bloquear acesso a websites que contêm código malicioso e analisar os downloads efetuados.

Não ativar macros em documentos recebidos por email. Os anexos maliciosos são uma das principais fontes de infeção de ransomware. Os atacantes tentam persuadir os utilizadores a ativar as macros para depois serem infetados por ransomware.

Não clicar em ligações ou visitar websites provenientes de mensagens de email suspeitas. Habitualmente, os atacantes incentivam os utilizadores a tomar uma ação impulsiva como abrir um documento ou clicar numa ligação que pode resultar em infeção. Para tal, enviam mensagens de correio eletrónico, fazendo-se passar por entidades governamentais (Autoridade Tributária/Finanças, por exemplo), forças de autoridade (PJ, PSP, FBI ou CIA) ou empresas conhecidas (Paypal, Fedex ou DHL). O conteúdo das mensagens é geralmente de caráter urgente e/ou intimidatório, requerendo que o utilizador efetue uma ação imediata, como abrir um documento ou visitar um website para resolverem a (falsa) situação. Habitualmente, para efetuar estas ações, o utilizador terá que instalar ou executar algum tipo de software (que depois se revela malicioso).

Mostrar extensões de nome de ficheiro. Alguns ficheiros que contêm código malicioso adicionam extensões ao nome de ficheiros, fazendo-os parecer extensões inofensivas. Ao ter esta opção ativa, o utilizador poderá visualizar facilmente o tipo de ficheiro que está a tentar abrir (por exemplo: “fatura.pdf” passa a “fatura.pdf.exe”, caso lhe tenham enviado um ficheiro executável).

Não utilizar permissões de administrador/root se não for necessário. Um utilizador sem permissões de administrador é suficiente para executar grande parte das tarefas mais habituais num dispositivo. Deste modo, mesmo que o código malicioso seja executado, há possibilidade de não ter as permissões necessárias para fazer alterações prejudiciais ao sistema.

Restringir permissões de escrita em servidores de ficheiros sempre que possível.

Instalar as atualizações de segurança mais recentes para o sistema operativo e outro software instalado.

Educar os utilizadores para a ameaça e definir um procedimento para quando suspeitarem de algum email, pop-up, ficheiro ou programa.

A melhor solução é estar preparado para um ataque de ransomware.

Como remover ransomware?

Se foi infetado por ransomware, entre em contacto com especialistas em segurança informática para se aconselhar sobre como proceder.

A recuperação de sistemas ou ficheiros infetados por ransomware é muito improvável caso não se tenham cópias de segurança. Muitas pessoas, em desespero, acabam por pagar o resgate para reaverem os seus ficheiros. No entanto, nada garante que a chave de decifragem seja enviada, que os atacantes não venham a exigir mais pagamentos ou que o sistema não tenha sido afetado por mais do que uma versão de ransomware.

A forma mais rápida (e mais económica) de recuperar ficheiros infetados com ransomware é restaurar uma cópia de segurança.

Existem ferramentas gratuitas que ajudam a recuperar os ficheiros cifrados sem ter que se pagar o resgate. Estas ferramentas funcionam apenas em versões conhecidas, para as quais já foi possível criar uma ferramenta de decifragem (decryption tool). Ainda não existem ferramentas que funcionem em todos os tipos de ransomware.

É essencial que o malware seja removido do sistema antes de restaurar os ficheiros, caso contrário, o sistema/ficheiros voltarão a ser infetados. Para isso, pode ser utilizado um antivírus ou outro programa de proteção. (Nota: este passo não restaura o acesso aos ficheiros, apenas garante que o sistema está livre do código malicioso que cifra os ficheiros).

O conselho principal é não pagar o resgate. Ao enviar dinheiro aos cibercriminosos só está a confirmar que o modelo do ransomware funciona, para além de não haver garantia nenhuma de que irá recuperar a chave de decifragem necessária para desbloquear os seus ficheiros.”
— No More Ransom

Ferramentas gratuitas para remover ransomware

No website “No More Ransom” encontram-se ferramentas de decifragem para algumas versões de ransomware (Coinvault, WildFire, Chimera, Teslacrypt, Jigsaw, entre outros). Este website é uma iniciativa da Unidade de Crime de Alta Tecnologia da Polícia Holandesa, do European Cybercrime Centre (EC3) da Europol e de duas empresas de cibersegurança, com o objetivo de ajudar as vítimas de ransomware a recuperar os seus ficheiros cifrados sem terem que pagar a criminosos.

Decryption tools No More Ransom

Proteja os seus ficheiros de ransomware

O ransomware é a maior ameaça virtual de 2017 e afeta tanto empresas como indivíduos em grande escala. Não seja vítima de extorsão digital. Proteja os seus ficheiros, proteja o seu negócio.

A Eurotux é especialista em segurança informática e tem larga experiência na proteção de sistemas e infraestruturas tecnológicas. Entre em contacto connosco para conhecer as soluções de proteção contra ransomware mais eficazes e adequadas ao seu negócio.

Livre-se de preocupações!

Abrace a transformação digital com a Eurotux.

Alterar a Língua