Ransomware – Perigoso para você e para a empresa, mas é altamente lucrativo para hackers

12/07/2018 mindsecblog Artigos, Notícias 5

Ransomware – Perigoso para você e para a empresa, mas é altamente lucrativo para hackers, o ransomware assumiu a ameaça de segurança número 1 nos dias de hoje. Ataques e tentativas de infecção aumentaram nos últimos anos, e continuarão a fazê-lo, pois cada versão parece ficar mais poderosa e mais destrutiva. Então, o que é ransomware e como se manter seguro?

O que é ransomware?

Já falamos sobre isto aqui no Blog Minuto da Segurança no artigo: Ransomware: O que é? Como se proteger? , mas como este assunto continua sendo notícias constantes e a cada dia aparecem novas variantes e novas ameaças, ransomware continua sendo a preocupação número 1 das empresas empresas e por isto merece retornarmos ao assunto e trazer aqui a visão escrita pelo site BuyingHints.com nesta semana.

Relembrando: Ransomware é um software malicioso que criptografa arquivos no seu computador ou bloqueia completamente você.

Ele é transmitido por hackers que exigem um resgate (geralmente entre $300-500 EUR, de preferência pagos em bitcoins), alegando que, se você pagar, receberá a chave de descriptografia para recuperar seus arquivos.

O primeiro ataque de ransomware registrado ocorreu em 1989, quando o biólogo evolucionista Joseph Popp infectou disquetes com o Trojan da AIDS e os distribuiu para colegas pesquisadores. O malware não funcionou imediatamente, mas esperou até que as vítimas iniciassem seus PCs 90 vezes.

Finalmente, ele criptografou todos os arquivos do sistema e pediu aos usuários que pagassem US$ 189 para desfazer o dano. Felizmente, os especialistas criaram ferramentas para remover o malware e descriptografar arquivos infectados.

Mas o ransomware é um vírus? Não.

Os vírus infectam seus arquivos ou software e têm a capacidade de se replicar, mas o ransomware embaralha seus arquivos para torná-los inutilizáveis ​​e, em seguida, exige que você pague. Eles podem ser removidos com um antivírus, mas se os seus arquivos forem criptografados, você nunca mais os recuperará, a menos que ele utilize uma criptografia de chave simétrica ou assimétrica e você obtenha a chave de encriptação.

Tipos de ransomware

Ransomware vem em todas as formas e tamanhos. Algumas variantes são mais prejudiciais do que outras, mas todas elas têm uma coisa em comum: o resgate.

  1. Crypto malware ou encryptors – é o tipo mais comum de ransomware e pode causar muitos danos. Além de extorquir mais de US$ 50.000 de suas vítimas, WannaCry colocou milhares de vidas em risco quando atingiu hospitais em todo o mundo e impediu a equipe médica de acessar arquivos de pacientes.
  2. Lockers – infectam seu sistema operacional para bloquear completamente o seu acesso ao computador e impossibilitar o acesso a qualquer aplicativo ou arquivo.
  3. Scareware  – é um software falso (como um antivírus ou uma ferramenta de limpeza) que afirma ter encontrado problemas no seu PC e exige dinheiro para consertá-los. Algumas variantes bloqueiam seu computador, outras inundam sua tela com alertas e popups irritantes. O ransomware Scarabey ameaça deletar 24 arquivos a cada 24 horas caso não seja pago o resgate.
  4. Doxware (ou leakware) ameaça publicar online informações roubadas de seu computador se você não pagar. Todos armazenamos arquivos confidenciais em nossos computadores (de contratos e documentos pessoais a fotos embaraçosas), por isso é fácil entender por que isso pode causar pânico.
  5. RaaS (Ransomware as a Service”) é um malware hospedado anonimamente por um hacker, e oferecido a outros criminosos, que lida com tudo – distribui o ransomware, coleta pagamentos, gerencia decifradores – em troca de uma parte do resgate.

Ransomware para Android

Seus dispositivos móveis Android também não são seguros contra ransomware. Há até um CopyCat que usa uma abordagem única para injetar adware nos dispositivos e  se espalha em fóruns de jogos, seu foco principal tem sido dispositivos Android na China.

Como os dados podem ser facilmente restaurados pela sincronização de dispositivos, os cibercriminosos geralmente preferem bloquear seu smartphone em vez de apenas criptografar arquivos.

Ransomware Mac

Mesmo que seja preciso mais do que abrir um anexo de e-mail ou clicar em um link para infectar os dispositivos da Apple, o Mac ransomware também está em ascensão. Os últimos malwares que afetam os Macs parecem ter sido codificados por engenheiros de software especializados no sistema OS X. Cibercriminosos geralmente visam contas do iCloud ou tentam bloquear smartphones através do sistema Find My iPhone.

 

Ataques de ransomware em 2017

Com dezenas de kits de ferramentas de malware disponíveis no mercado negro da Internet, os hackers têm uma base sólida para construir. Os ataques recentes mostraram que os criminosos cibernéticos se esforçam muito para melhorar seu código, adicionando recursos que dificultam a detecção e ajustando seus e-mails maliciosos para torná-los legítimos.

Vamos dar uma olhada mais de perto nos maiores ataques de ransomware em 2017, WannaCry e Petya.

WannaCry

Depois de infectar mais de 10.000 organizações e 200.000 pessoas em mais de 150 países, a WannaCry ganhou sua reputação como o ataque de ransomware mais difundido até hoje. Ele usou uma exploração conhecida como ETERNALBLUE, que aproveita uma vulnerabilidade do Windows SMB (Bloco de Mensagens do Servidor, um protocolo de compartilhamento de arquivos de rede) rotulada como MS17-010. A infecção do WannaCry foi muito bem sucedida e assombrou o mundo devido a sua mistura de ransomware e vírus, multiplicando-se através do EternalBlue

Petya

O mais recente surto baseado em Petya (apelidado de Petya, Petna, NotPetya, EternalPetya ou Nyetya) deu a todos um grande susto, mas foi muito menos prejudicial do que WannaCry. A Petya afetou principalmente a Ucrânia (mais de 90% dos ataques), mas também vimos tentativas nos EUA, na Rússia, na Lituânia, na Bielorrússia, na Bélgica e no Brasil.

Dois outros grandes ataques de ransomware foram notícia em 2016:

  • Locky
    Visto pela primeira vez em fevereiro de 2016, Locky teria sido enviado a milhões de usuários em todo o mundo, em um esquema de e-mail que alegava ser uma fatura ou um recibo do pedido. Os e-mails continham um documento do Word ilegível, solicitavam aos usuários que ativassem as macros para visualizar seu conteúdo e começaram a fazer o download do malware. A cada ataque, os autores de Locky continuam aprimorando o código para dificultar a detecção quando ele está no seu computador.
  • Cerber Ransomware
    Este malware vem como um kit de ferramentas, disponível gratuitamente para qualquer pessoa baixar, configurar e espalhar. Ele é distribuído por meio de um anexo de e-mail ou do link “Cancelar inscrição” em um e-mail de spam (que redireciona as vítimas para o mesmo anexo), pode operar mesmo se você estiver offline e criptografar mais de 400 tipos de arquivos, incluindo arquivos de banco de dados.

Como os hackers continuam melhorando seu código, qualquer uma dessas variantes pode reaparecer a qualquer momento, por isso é importante saber que elas estão por aí mesmo quando você não lê sobre isso nas notícias.

 

Você é um alvo de ransomware?

Quando se trata de ransomware, qualquer um pode ser um alvo. Por exemplo, o WannaCry aproveitou a vulnerabilidade do Windows para espalhar e infectar mais de 200.000 usuários como você, bem como 10.000 empresas, autoridades públicas e organizações em todo o mundo. Qualquer pessoa que não tenha instalado o patch de segurança lançado pela Microsoft em março está vulnerável. Usuários do Windows XP foram os mais atingidos: A Microsoft havia terminado o suporte para a versão do Windows XP 3 anos atrás, e foi apenas incentivada a lançar um patch para ela até bem depois que o ataque se tornou severo. (E se você ainda estiver executando essa versão, você deve considerar uma atualização).

Embora um patch ou atualização para corrigir esses problemas seja geralmente rápido e fácil para usuários comuns, empresas e organizações são muito mais vulneráveis. As empresas geralmente executam softwares personalizados que necessitam validar as atualizações antes de instalar para que não comprometam o seu funcionamento e também precisam implantar as correções em um grande número de dispositivos, o que os torna mais lentos. Algumas organizações também não têm budget para este trabalho de forma tão repetitiva.

Espera-se que os orçamentos dos hospitais salvem vidas, não computadores – mas às vezes eles podem se misturar quando seus sistemas são tomados e eles são bloqueados ao acesso do históricos de pacientes ou aos equipamentos de controle.

Cibercrime é a preocupação número 1 para as organizações que trabalham com dados confidenciais, mas isso não significa que os usuários regulares de PCs estão seguros – suas fotos de sua família ou seus arquivos pessoais são tão valiosos para os hackers, afinal nos dias de hoje nossos documentos são arquivados muito mais em forma digital do que de forma impressa.

 

Como o ransomware infecta seu PC

De anexos de email mal-intencionados e links falsos a golpes de mídia social, o ransomware se espalha rapidamente e bate forte. Veja como ele atinge o seu computador:

Engenharia social

Um termo chique para enganar as pessoas para que baixem malware de um anexo ou link falso. Os arquivos maliciosos geralmente são disfarçados como documentos comuns (confirmações de pedidos, recibos, faturas, avisos) e parecem ter sido enviados por uma empresa ou instituição de boa reputação. Basta baixar um deles para o seu PC, tentar abri-lo e boom! Você está infectado.

Malvertising

Anúncios pagos que oferecem ransomware, spyware, vírus e outras coisas desagradáveis, através do clique de um botão. Sim, os hackers até compram espaço publicitário em sites populares (incluindo redes de mídia social ou YouTube) para colocar seus códigos ao alcance de seus seus dados.

Kits de exploração

Código pré-escrito, bem embrulhado em uma ferramenta de hacking pronta para uso. Como você deve ter adivinhado, esses kits são projetados para explorar vulnerabilidades e falhas de segurança causadas por software desatualizado. É uma forma fácil de “qualquer um” se tornar um hacker rapidamente.

Downloads de drive-by

Arquivos perigosos que você nunca pediu. Alguns sites maliciosos aproveitam os navegadores ou aplicativos desatualizados para fazer o download silencioso de malware em segundo plano, enquanto você navega em um site de aparência inocente ou assiste a um vídeo.

 

Como saber se você está infectado

A infecção pode começar com um e-mail de aparência inocente, supostamente enviado por uma fonte legítima, pedindo que você baixe uma fatura ou algum outro documento importante.  Os hackers geralmente mascaram a extensão real do arquivo para enganar as vítimas, fazendo-as pensar em uma planilha em PDF, doc ou Excel. Na verdade, é um arquivo executável que começa a ser executado em segundo plano quando você clica nele.

Por um tempo, nada fora do comum acontece. Seus arquivos ainda podem ser acessados ​​e tudo funciona bem, até onde você sabe. Mas o malware entra em contato silenciosamente com o servidor do hacker, gerando um par de chaves – uma pública para criptografar seus arquivos, e uma privada, armazenada no servidor do hacker, usada para descriptografá-los.

Quando o ransomware chegar ao seu disco rígido, você não terá muito tempo para salvar seus dados. A partir daqui, sua entrada não é mais necessária. O ransomware simplesmente começa a executar e criptografar seus arquivos, e só se revela quando o dano é feito.

Uma nota de resgate aparece na tela, informando quanto você deve pagar e como transferir o dinheiro. Uma vez que o relógio começa a funcionar, você normalmente tem 72h para pagar o resgate, e o preço sobe se você não cumprir o prazo.

Enquanto isso, você não poderá abrir seus arquivos criptografados e, se tentar fazer isso, receberá um erro informando que seu arquivo não pode ser carregado, está corrompido ou não é válido.

 

Como remover ransomware

A menos que você esteja com seu PC bloqueado, a exclusão de ransomware é bem fácil. Na verdade, é o mesmo que remover um vírus ou qualquer outro tipo comum de malware, basicamente basta entrar no “Modo de Segurança” e executar seu antivírus para excluir o malware ou remova-o manualmente.

As coisas são um pouco mais complicadas se o seu PC estiver infectado e tiver sido bloqueado, o que impede você de entrar no Windows ou rodar qualquer programa.

Existem 3 maneiras de corrigi-lo:

  • faça uma restauração do sistema  usando um backup do Windows  a partir de um ponto de restauração anterior em que seu PC ainda estivesse seguro;
  • execute o programa antivírus de um disco inicializável ou uma unidade externa
  • reinstale o sistema operacional.

Restauração do sistema no Windows 7:

  • Ligue o seu PC e pressione F8 para entrar no menu Opções avançadas de inicialização
  • Selecione Reparar o seu computador e pressione Enter
  • Faça o login com o nome e a senha da sua conta do Windows (ou deixe esse campo em branco se você não tiver um)
  • Clique em Restauração do sistema

Restauração do sistema no Windows 8, 8.1 ou 10:

  • Ligue o seu PC e segure a tecla Shift para entrar nas telas de recuperação (reinicie se não funcionou)
  • Selecione Solução de problemas
  • Vá para Opções Avançadas
  • Clique em Restauração do sistema

Como recuperar seus arquivos

Recuperar seus dados é uma outra história. Criptografia de 32 e 64 bits são fáceis de quebrar. No entanto, atualmente, a maioria dos tipos de ransomware – incluindo o notório WannaCry, Locky ou Cerber – usa criptografia de 128 bits, ou até mais forte, de 256 bits (às vezes, uma combinação de ambos). Esse nível complexo de criptografia também é usado por servidores, navegadores e VPNs para proteger seus dados, porque é seguro e “inquebrável”.

Se os seus arquivos estiverem infectados com uma dessas variantes mais mortais, a recuperação é quase impossível. É por isso que a prevenção é a melhor coisa que você pode fazer para se proteger contra ransomware. Posto isto, a recomendação é : Faça backup periodicamente para que possa restaurar os arquivos em caso de uma infecção desta natureza.

 

Para pagar ou não pagar o resgate?

Neste ponto, a pergunta temida provavelmente passou pela sua cabeça. E com o ransomware sendo tão assustador, não podemos culpá-lo!  Os hackers não discriminam. Seu único objetivo é infectar tantos computadores quanto possível, porque é assim que eles ganham dinheiro. E também é um “negócio” muito lucrativo, com as vítimas pagando centenas de milhares de dólares para recuperar seus dados.

Em junho de 2017, a empresa de hospedagem de sites sul-coreana Nayana pagou 397,6 bitcoins (no valor de aproximadamente US$ 1 milhão na época) após um ataque de ransomware Erebus. Este é o maior resgate pago até hoje e prova o quão vulneráveis ​​são as empresas.

Mas você está lidando com golpistas aqui, então pagar o resgate não garante nada. Às vezes eles simplesmente aumentam o preço, se encontrarem alguém desesperado o suficiente para pagar. Mesmo que você pague a restauração não é garantida, assim para tentar provar a você que os arquivos podem ser recuperados, alguns ransomware recomendam que você envie uma amostra com um arquivo encriptado, eles decriptam e te retornam o arquivo legível, provando que você poderá recuperar os arquivos. No entanto ainda assim é perigoso, pois muitos ransomwares deixam uma espécie de “bomba” para que  após algum tempo da recuperação os seus arquivos sejam novamente infectados e você tenha que novamente pagar o resgate. Pesquisa, da CyberEdge , aponta que menos da metade dos alvos de ransomware que pagaram o resgate obtiveram seus arquivos de volta, por isto pagar uma demanda de resgate é uma ótima maneira de acabar perdendo seu dinheiro e seus arquivos, o Petya, por exemplo, tinha um bug em seu código que tornava impossível recuperar qualquer coisa. De outra forma, pesquisas apontam que cerca de quatro de cinco vítimas de ransomware que pagaram uma demanda de resgate para recuperar seus arquivos dizem que pagariam o resgate novamente , por isto,  pagar incentiva os hackers a voltarem, bater em sua porta em busca de mais dinheiro.

 

Fonte: Buyinghints.com

 

Veja também:

 

Sobre mindsecblog 2473 Artigos
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.
Website Facebook Twitter YouTube Linkedin

Artigos Relacionados

5 Trackbacks / Pingbacks

  1. Continuidade Cibernética
  2. Vulnerabilidades Críticas e Altas no CISCO Policy Suite, Webex, SD-WAN e Nexus
  3. Violação de dados na Telefonica deixa dados em milhões expostos
  4. Lista de violações de dados em 2017
  5. Perfis de clientes de Macys e Bloomingdales hackeados

Deixe sua opinião!