Todas as informações importantes sobre ransomeware
Ransomware é um malware que pode causar sérios danos econômicos às pessoas afetadas. O Federal Office for Information Security aponta em um boletim informativo que os ataques cibernéticos por ransomware têm aumentado constantemente desde 2016. Portanto, é ainda mais importante que os usuários se informem sobre como esse ransomware funciona e como é protegido.
O que é ransomware?
Ransomware: definição
Ransomware é um malware que criptografa programas e arquivos em um computador ou servidor. Os criminosos chantageiam empresas, mas também usuários privados. Eles pedem dinheiro para a ativação dos dados criptografados.
O termo “ransomware” é composto pelo termo inglês “ransom”, em alemão “ransom” e “software”. Ransomware é, portanto, um “software de resgate”. Em alemão, também é chamado de ransomware ou trojan de chantagem. Outro nome é "trojan de criptografia".
Como você conseguiu o nome? Os cibercriminosos criam software que criptografa todos os arquivos ou arquivos importantes em um computador ou sistema de computação de terceiros. Alguns softwares de chantagem também bloqueiam todo o computador. Os chantagistas ou invasores então exigem um resgate de suas vítimas para que os arquivos possam ser descriptografados ou os computadores desbloqueados. Os criminosos geralmente exibem a nota de resgate diretamente na tela do dispositivo afetado. Freqüentemente, o pagamento em bitcoins é necessário para que as autoridades policiais não possam rastrear facilmente o caminho do dinheiro.
O ransomware é contrabandeado para computadores de terceiros por meio de malware, por exemplo, por meio de Trojans ou vírus de computador.
Ransomware: Tipos e Variantes
Existem basicamente dois tipos diferentes de ransomware:
- Screenlocker: Este ransomware bloqueia a tela ou o uso do computador infectado. Este programa malicioso continua empurrando a tela de bloqueio com a mensagem de chantagem para o primeiro plano, não importa qual programa o usuário inicie. Uma subvariante deste ransomware é o chamado "App-Locker". Este programa malicioso impede o acesso a aplicativos ou programas no computador, tablet ou smartphone. O ransomware bloqueia o acesso do computador ao servidor do aplicativo. Tal como acontece com o bloqueio de tela clássico, o applocker também envia ao usuário uma mensagem sobre o valor do resgate solicitado.
- Criptografador de arquivos: com esta variante, alguns ou todos os arquivos do computador infectado são criptografados. Para enfatizar a extorsão, os criminosos roubam fotos ou arquivos privados e ameaçam publicá-los se o dinheiro solicitado não for pago em dia. Os criptografadores de arquivos são implementados principalmente como Trojans de criptografia, também conhecidos como "Trojans Crypto". Alguns desses programas maliciosos criptografam apenas áreas individuais, por exemplo, fotos ou dados bancários. Outros codificam todo o sistema do computador ou todos os arquivos em um servidor. O ransomware ataca o índice do disco rígido de maneira direcionada.
Existem também formas híbridas de ransomware que combinam registradores de aplicativos e telas, bem como criptografadores de arquivos. Recuperar todos os arquivos após o ataque se torna ainda mais difícil para os afetados.
Info: Desde quando existem cavalos de Troia de criptografia?
Chantagear usuários de computador com software não é uma invenção nova. O chamado “Disco de Tróia da AIDS” já estava em circulação em 1989. Foi um disco que o biólogo Joseph L. Popp enviou para 20.000 participantes da Conferência Mundial de AIDS. O disquete continha malware que criptografou o disco rígido do computador afetado.
O chantagista Popp exigiu 189 dólares de suas vítimas para a ativação dos dados. Os afetados devem repassar o valor para uma empresa chamada "PC Cyborg", com sede no Panamá. O nome da empresa acabou dando seu nome ao primeiro ransomware conhecido: “PC Cyborg Trojan”.
Em 2011, o primeiro Trojan de criptografia foi finalmente distribuído pela Internet. Era TROJ_PGPCODER.A. Os cibercriminosos exigiram um resgate de várias centenas de dólares dos usuários afetados para desbloquear o computador novamente.
Como funciona o ransomware e como chega aos computadores?
Ao contrário dos vírus de computador ou worms da Internet, o ransomware geralmente é um software mais complexo. Porque primeiro o malware precisa chegar ao computador e bloquear ou criptografar os arquivos lá. Para isso, é necessário um trabalho de programação mais extenso.
Em contraste com a complexidade da programação, espalhar ransomware é simples e semelhante a ser infectado por worms ou vírus de computador. Por exemplo, o malware pode entrar em um computador por meio de anexos de e-mail infectados ou de sites manipulados. Clicar em um anexo de e-mail comprometido ou em um site infectado inicia o ransomware. Ele se instala no computador.
Após a instalação, o ransomware determina onde está o disco rígido do sistema e onde os arquivos a serem criptografados podem ser encontrados. Em seguida, ele gera uma chave e substitui o registro mestre de inicialização.
A criptografia ou bloqueio da tela nem sempre é imediata. Dependendo do tipo de programação, os hackers criminosos podem criptografar os dados em um determinado momento. Às vezes, certos gatilhos são programados, ou seja, condições sob as quais o ransomware se torna ativo.
Assim que é iniciado, o sistema de arquivos existente é sobrescrito e criptografado pelo ransomware. Após a reinicialização, a informação sobre a extorsão com ordem de pagamento aparecerá na tela do computador. O software é geralmente programado de forma que a mensagem apareça a cada clique do mouse ou pressionamento de tecla.
Alguns hackers programam o ransomware de forma que parte dos dados criptografados sejam sempre bloqueados quando o computador for reiniciado. Outros métodos de chantagem permitem a exclusão após um certo período de tempo, no qual nenhum dinheiro é transferido.
Info:
Mesmo que a programação de ransomware não seja trivial, geralmente é fácil para os hackers comprar programas. O Darknet desempenha um papel importante aqui. Conjuntos completos de software de chantagem estão disponíveis para compra lá. O processo no Darknet é difícil para as autoridades, uma vez que a identidade do provedor só pode ser determinada lá com um grande esforço técnico.
Como exatamente os chantagistas ganham dinheiro com isso?
Após um ataque de ransomware, os chantagistas fornecem informações sobre as modalidades de pagamento em uma página separada.
O pagamento em Bitcoin dificilmente rastreável ou via cartões Paysafe ou Ukash é comum. Os cibercriminosos prometem na página exibida que irão transmitir o código para descriptografia assim que o dinheiro for transferido. No entanto, os consumidores não devem esperar automaticamente que a extorsão termine com o pagamento.
Dependendo do tamanho e da importância dos dados criptografados, os chantagistas cobram de algumas centenas a vários milhares de dólares ou euros.
Como eu reconheço o ransomware?
Infelizmente, a maioria dos usuários só reconhece o ransomware depois que o PC já foi infectado. Em seguida, uma nota de resgate aparece na tela bloqueada informando que o computador foi bloqueado ou que os arquivos foram criptografados. Muitos usuários não podem mais rastrear quando seu computador foi infectado, por exemplo, com um anexo de e-mail.
Em alguns casos, os programas antivírus emitem um alarme após a execução de uma verificação de vírus. No entanto, nem todos os programas de proteção contra vírus detectam ransomware. Isso também se aplica a softwares que não usam as definições de vírus mais recentes. A detecção de ransomware é dificultada pela proteção contra vírus porque o ransomware geralmente se apaga automaticamente após a execução da função maliciosa.
É assim que você pode se proteger contra ransomware
Como outros malwares, o ransomware usa brechas de segurança em sistemas operacionais, aplicativos e software, bem como proteção insuficiente de antivírus para se instalar em um computador ou smartphone. Você pode usar essas medidas para evitar ransomware.
Crie backups de seus dados: |
Os cibercriminosos usam ransomware para ameaçar deletar seus arquivos. Portanto, é uma medida eficaz salvar regularmente todos os arquivos importantes. É melhor usar um meio de armazenamento offline, como discos rígidos externos. Sempre desconecte este disco rígido do computador após salvar. Isso é para garantir que nenhum hacker possa acessá-lo. Também é sempre aconselhável criar um backup do sistema. Se um hacker excluiu seu sistema operacional e todos os arquivos nele, você pode restaurá-lo facilmente com o backup. Faça backups regularmente. |
Use um programa antivírus que tenha proteção contra ransomware: |
Ao usar um programa antivírus, você reduz o risco de se tornar vítima de software de chantagem. Sempre instale todas as atualizações necessárias e atualizações de definição de vírus. |
Sempre atualize seu sistema operacional com novas atualizações: |
As atualizações dos sistemas operacionais são importantes para a segurança do seu PC, porque as atualizações geralmente também eliminam as lacunas de segurança. |
Atualize seu software: |
Quer sejam programas de navegador ou de escritório, apenas o software atualizado oferece segurança básica suficiente. Os programas atuais evitam, por exemplo, que o ransomware entre através de falhas de segurança conhecidas. |
Plug-ins de navegador: |
Muitos programas de proteção contra vírus oferecem plug-ins de navegador que detectam scripts maliciosos e evitam que sites infectados sejam acessados. |
Scanner de e-mail: |
Ative o verificador de e-mail do seu software de proteção contra vírus. Esses programas evitam que você abra anexos de arquivos infectados. A proteção contra vírus pode colocar em quarentena e excluir o ransomware diretamente. |
Use uma conta de convidado para fazer o login: | Se você sempre fizer login em seu PC como administrador, os criminosos podem usar ransomware para alcançar todas as áreas confidenciais de seu computador com ainda mais facilidade. No entanto, se você usar seu PC como um convidado com direitos restritos, os criminosos não poderão penetrar em seu sistema de computador tão profundamente e serão limitados em suas opções. |
Tenho ransomware no meu computador - o que devo fazer?
Se o seu computador for afetado por ransomware, você deve manter a calma por enquanto, apesar da mensagem na tela.
-
Verifique na web se houve algum ataque semelhante ao seu. Muitos chantagistas também mencionam o tipo de Trojan que possuem com a nota de resgate. Freqüentemente, os chantagistas ainda permitem a função de navegador. Afinal, o resgate geralmente deve ser pago online e por meio da rede Tor. Se você souber o tipo de infecção, geralmente poderá encontrar soluções adequadas na Internet sobre como se livrar do ransomware. Um possível ponto de contato é "ID Ransomware". Lá você encontrará soluções sobre como quebrar a criptografia de ransomware conhecidos.
-
Alerte a polícia se os dados já tiverem sido roubados ou excluídos.
-
Se você tiver um backup de seus dados, pode tentar se livrar do ransomware com um antivírus ou antivírus online. Após removê-lo, você deve reiniciar o sistema operacional. Você pode então transferir os dados do backup de volta para o seu computador.
Remover ransomware: Veja como
A única maneira de remover o ransomware é examiná-lo com um antivírus atualizado. Portanto, você deve sempre executar o seu PC com um programa antivírus poderoso.
Inicie uma verificação de vírus com ele. Se o ransomware foi excluído depois de iniciado, muitos scanners não reconhecem mais o malware. A única coisa que pode ajudar aqui é reinstalar o sistema operacional.
Ransomware conhecido
Nos últimos anos, uma variedade de ransomware prejudicou consumidores e empresas em todo o mundo.
- Petya: Esse malware fez com que os PCs fossem reiniciados e os arquivos nas máquinas afetadas irreconhecíveis para o computador. Portanto, o Petya não criptografou os arquivos, mas impediu o acesso a eles. Os hackers colocaram a nota de resgate atrás de Petya na tela de bloqueio. No entanto, desde que apareceu pela primeira vez em 2016, Petya foi descriptografado. Como resultado, quase nenhum dano pode ser feito hoje com o arquivo original.
- Locky: O ransomware Locy também se espalhou em 2016. Ela usava principalmente anexos de e-mail. As principais vítimas foram unidades de saúde. Em Los Angeles, um hospital pagou US $ 17.000 para recuperar os registros dos pacientes. No final de 2016, os ataques quase desapareceram novamente.
- Quero chorar: Em 2022-2023, o ransomware Wannacry se espalhou rapidamente pelo mundo. Ele explorou uma falha de segurança no sistema operacional Windows, especialmente no Windows 7. Depois que o Windows forneceu patches a seus usuários, a falha de segurança foi fechada. O serviço secreto americano NSA desempenhou um papel crítico em Wannacry. Ele conhecia a vulnerabilidade muito antes de ela ser usada por hackers para fins criminosos. Wannacry afetou não apenas indivíduos, mas empresas em todo o mundo, incluindo a Deutsche Bahn, os fabricantes de automóveis Nissan e Renault, bancos chineses e ministérios de países ao redor do mundo.
Conclusão: o ransomware é perigoso - mas com prevenção e proteção pode ser evitado
O ransomware pode causar grandes danos e, acima de tudo, causar incerteza entre os usuários. No entanto, se você tomar precauções com backups e programas atualizados, bem como com proteção antivírus atualizada, você pode reduzir o risco de infecção por ransomware.