_Cibersegurança

[Giz Explica] O que é o ransomware e como se proteger dele

O ransonware em sua forma mais clássica é um vírus que, ao invadir um computador, criptografa todos os dados. Entenda esse tipo de vírus e como se proteger

Nos últimos dias, o termo “ransomware” invadiu as manchetes. Mas o que diabos é isso? Em sua configuração mais clássica, trata-se de um vírus que, ao invadir um computador, criptografa todos os dados. Para você recuperá-los, é preciso ter uma senha que só é dada depois de pagar uma quantia aos hackers, na maioria dos casos em Bitcoin. É assim que funciona o WannaCry, que tem se espalhado desde a última sexta-feira (12). O vírus explora uma brecha grave do Windows: um código executado remotamente a partir do protocolo de compartilhamento de arquivos do sistema permite que se espalhe rapidamente para todos os computadores de uma rede interna – esse é um dos motivos pelos quais ele já afetou mais de 200 mil computadores em mais de 150 países.

• Como o ransomware WannaCry avançou durante o fim de semana
• Os detalhes do bizarro sequestro que envolveu criptomoedas

Especialistas já o consideram o maior ciberataque da história e ainda tentam descobrir exatamente como ele infecta a primeira máquina da rede e qual grupo hacker começou tudo isso. O que se sabe é que a falha utilizada pelo WannaCry ficou conhecida após o vazamento de ferramentas sigilosas usadas pela NSA (Agência de Segurança Nacional), pelo grupo hacker “Shadow Brokers”. A Microsoft, que liberou uma atualização de segurança corrigindo a falha em maio apenas para as versões do Windows que ainda possuem suporte, critica duramente governos que mantêm falhas de segurança de softwares em segredo.

Os ransomwares e ataques cibernéticos ganharam atenção graças ao WannaCry, mas eles já estão por aí há um bom tempo e estão ficando cada mais sofisticados. Hora de entender mais sobre a história dessa modalidade de crime.

Ransomware via disquete

O primeiro ransomware da história foi o AIDS Trojan – e foi um fracasso. E ele tem uma história bem doida: o vírus se espalhava por meio dos correios tradicional, dentro de um disquete 5”1/4, isso lá em 1989. Nessa época, poucas pessoas usavam computadores pessoais e a Web nem existia, muito menos o email como conhecemos hoje. A internet era utilizada principalmente por especialistas e pesquisadores, a criptografia era fraca e realizar pagamentos internacionais era muito mais burocrático. Sem contar que os primeiros vírus de computador não tinham objetivos estritamente financeiros, malwares eram muito utilizados apenas para pregar peças ou como uma forma de ganhar notoriedade dentro das comunidades.

Imagem: Flickr/Daniel Rehn

A primeira onda de ransomwares realmente nocivos só foi surgir em 2005, quando alguns softwares se travestiam como ferramentas de remoção de spywares ou como ferramentas de ganho de performance para as máquinas, afetando principalmente PCs Windows e alguns computadores Mac OS X. SpySheriff e PerformanceOptimizer são dois exemplos de malwares que desfaziam registros ou corrompiam arquivos, exibindo pedidos de pagamento com valores entre US$ 30 e US$ 90 para se obter uma licença para resolver esses problemas. Na maioria das vezes, a licença não resolvia nada. O malware Trojan.Gpcoder é da mesma época e funcionava de uma forma mais similar aos ransomwares atuais: ele criptograva dados e exigia um resgate para a recuperação. Ele não foi tão bem sucedido por ter uma criptografia fraca – a mesma chave que bloqueava os arquivos era a que desbloqueava todo o conteúdo.

Apesar da efetividade praticamente nula, os hackers começaram a experimentar mais alternativas. Em 2006 surgiu o Trojan.Cryzip, que copiava dados para um arquivo específico protegido por senha e então deletava a informação original. A senha para liberar os dados estava dentro do próprio código do Trojan, o que facilitava a recuperação. Na mesma pegada veio o Trojan.Archiveus, funcionando da mesma forma que o Cryzip – mas em vez de pedir um pagamento em dinheiro, pedia para a vítima comprar medicamentos de determinadas farmácias online. Com a identificação do pedido, os hackers liberavam a senha.

Em 2008 e 2009 surgiu uma onda de programas de antivírus falsos, que imitavam a aparência e funcionalidade de um software de segurança e afirmavam que a máquina estava cheia de problemas. Os usuários então deveriam pagar por licenças para o software realizar o trabalho de consertar os erros. A rentabilidade e o retorno eram baixíssimos, já que muitas pessoas simplesmente desinstalavam o programa.

Também em 2008, com o surgimento do Trojan.Randsom.C, os criminosos passaram a desabilitar o acesso e controle do computador. O Randsom.C exibia uma mensagem do Centro de Segurança do Windows com um número de telefone e dizia para os usuários ligarem para comprar a licença do software de segurança – nesse meio tempo, bloqueavam o computador. Mas foi só em 2011 e 2012 que esse tipo de ataque ganhou força e passou a ser utilizado amplamente.

De lá pra cá, esses malwares funcionam todos de maneira parecida, criptografando os dados e bloqueando o acesso do computador de alguma forma. Alguns limitam a máquina inteira, outros conseguem explorar brechas de programas específicos, como os navegadores. Os criminosos utilizam diversas técnicas de engenharia social para chantagear a vítima e obter os pagamentos – em geral, são cobrados US$ 300 por cada computador infectado.

Existem também os ransomwares para smartphones, que funcionam mais como bloqueadores – criptografar os arquivos não faz tanto sentido já que a maioria dos dados pode estar na nuvem. A plataforma mais vulnerável é o Android, já que permite a instalação de aplicativos a partir de outras origens que não a Play Store. O bloqueador costuma ser distribuído em um APK, arquivo de instalação de apps do sistema do Google, e exibe uma mensagem permanente em cima de toda a interface.

Alguns mais sofisticados induzem o usuário a conceder permissões administrativas e assim o invasor tem mais poderes sobre o aparelho. Algumas táticas foram tentadas no iOS, como a exploração de brechas em contas do iCloud para utilizar o sistema “Encontre meu iPhone” para bloquear o acesso ao dispositivo. A falha foi corrigida rapidamente.

Um dos ransomwares mais recentes e mais perigosos é o Jigsaw. Ele exibe uma imagem do personagem Billy, do filme Jogos Mortais, junto com as ordens para a realização do pagamento. Além disso, há uma linha do tempo que demonstra que os arquivos serão apagados conforme os minutos vão se passando. Se o usuário tenta impedir esse processo ou reiniciar o sistema, mil arquivos são deletados automaticamente, o que vai mitigando as possibilidades da vítima procurar alternativas ao pagamento do resgate.

Formas de propagação

Os malwares se espalham de diversas maneiras: quando estão disfarçados de programas em sites de pirataria e embutidos em outros softwares se tornam identificáveis com mais facilidade. Mas eles podem estar também em sites da web – uma forma comum utilizada pelos hackers é a compra de tráfego redirecionado, levando um usuário para um site que permite a exploração de uma brecha. Muitos desses casos estão relacionados a sites de conteúdo adulto.

Tem sido comum também aproveitar essas mesmas brechas por meio de anúncios publicitários maliciosos. Dessa forma, mesmo que uma pessoa esteja visitando um site legítimo, ela pode ser infectada ao clicar em uma dessas publicidades. Outro clique perigoso está nos emails de phishing: uma mensagem que parece legítima e possui um link para o malware. Mais da metade dos ataques com ransomwares à corporações começam com um funcionário utilizando um dispositivo da empresa para tarefas pessoais, de acordo com uma pesquisa realizada pela empresa de cibersegurança Carbonite e o grupo de pesquisa independente Ponemon Institute.

Imagem: Gizmodo/Shutterstock

Alguns ransomwares se propagam praticamente sozinhos. Um software malicioso para Android, por exemplo, poderia enviar diversas mensagens SMS para seus contatos com um link infectado, espalhando o problema. Em alguns vírus mais sofisticados, eles podem se propagar sozinhos, como o WannaCry, que consegue passar de máquina para máquina dentro de uma rede. Alguns grupos também experimentam formas de espalhar o vírus, como um ransomware que atingia o software Popcorn Time e dava como opção a vítima ela infectar uma outra pessoa, como forma de pagamento.

Os ataques mais impactantes

Os criminosos não se importam muito com o tipo de vítima, por isso os ataques são realizados em diversas regiões e com diversos tipos de usuários. O que importa é fazer um esquema valer a pena – por isso, ataques planejados a órgãos governamentais, hospitais e grandes empresas estão ficando mais frequentes, já que a chance de lucro é bem maior. Os criminosos também estão aprimorando as chances de receber o pagamento do resgate: como comentamos acima, os ataques mais recentes impõem um prazo para o pagamento. Muitos deles dobram a quantia solicitada depois de um tempo e ameaçam excluir os arquivos. Para algumas empresas, perder seus dados pode significar ir à falência.

O valor do resgate depende muito do alvo do ataque. Uma invasão no Centro Médico Presbiteriano de Hollywood (HPMC, na sigla em inglês), realizado no ano passado, exigia o equivalente a US$ 3,6 milhões. O hospital ficou por dez dias sem sua rede interna, emails e dados importantes de pacientes. No final das contas, eles negociaram o resgate e pagaram US$ 17 mil. Algumas semanas depois o Departamento de Serviços Médicos do Município de Los Angeles foi infectado com um programa semelhante – eles, no entanto, se recusaram a realizar o pagamento.

Serviço de transporte público de São Francisco já foi invadido. Imagem: KGO-TV.

Também no ano passado, a Agência de Transportes Municipal de São Francisco foi vítima de um ataque que inutilizou os sistemas de tickets do transporte público. Os invasores pediam um resgate de 100 Bitcoin, o que equivalia a cerca de US$ 73 mil na época. A agência conseguiu normalizar o sistema depois de dois dias, sem pagar o resgate, mas teve outros prejuízos: as catracas ficaram livres para os passageiros durante o período.

O WannaCry já atingiu 200 mil computadores em mais de 150 países, mas até agora não lucrou muito: dados do site 318br que está monitorando as carteiras incorporadas ao malware mostram que, até o momento desta publicação, foram pagos US$ 83 mil (ou R$ 260 mil). Mas esse é o prejuízo financeiro direto: ainda não há como mensurar quanta grana as empresas perderam por falta de produtividade ou com mão de obra técnica.

O ZDNet apontou em maio de 2016 que “de acordo com pesquisadores da Kaspersky Lab, as três famílias mais utilizadas de ransomwares durante o primeiro trimestre do ano foram: Teslacrypt (58,4%), CTB-Locker (23,5%), e Cryptowall (3,4%). Os três infectavam os usuários principalmente por meio de emails spam com anexos maliciosos ou links para páginas web infectadas”.

Valor médio do resgate nos últimos anos. Via Symantec

De acordo com o gabinete do senador democrata americano Bob Hertzberg, estatísticas do FBI apontam que foram feitos US$ 209 milhões em pagamentos para ransomware nos EUA só nos primeiros três meses de 2016. Isso apenas para citar os casos conhecidos. É possível que existam outras dezenas de ocasiões em que houve sequestro de dados, mas as empresas não se pronunciaram. Pesquisadores apontam que durante todo o ano passado, hackers lucraram mais de US$ 1 bilhão.

A moeda dessa história

Os métodos preferidos de pagamento foram mudando durante os anos. Em 1989, o AIDS Trojan indicava que a vítima deveria enviar o dinheiro para um endereço de caixa postal no Panamá. O surgimento das criptomoedas facilitaram a vida dos criminosos, já que elas dificilmente são rastreadas. A moeda mais comum é o Bitcoin, que por ser mais conhecida e popular facilita a compra e o câmbio para dinheiro comum. Ainda assim, alguns ransomwares ainda utilizam transferências eletrônicas por meio de sistemas de voucher como o Paysafecard, MoneyPak e MoneXy. Ou seja, apesar do Bitcoin oferecer o anonimato para os criminosos, a moeda não é nem de longe a culpada por esse tipo de vírus.

Como se proteger

A moeda de troca dos ransomwares são os seus dados, então a melhor forma de evitar o pagamento de um resgate é manter um backup de tudo que é importante – se por um acaso seu dispositivo for infectado, é só formatar e restaurar a cópia de segurança. Alguns malwares mais sofisticados buscam pelos seus backups para criptografá-los também. Então, a melhor ideia é ter um HD externo que esteja desconectado da sua rede.

Alguns cuidados enquanto se navega na web também ajudam a evitar ser infectado. Como já comentamos, os ransomwares se propagam de várias maneiras, principalmente por emails de phishing que possuem anexos ou links que parecem legítimos, mas são armadilhas. Sempre vale a pena encostar o mouse sobre o link e analisar a URL antes de clicar: se o endereço contém caracteres estranhos, não corresponde a um site que você conhece ou não está diretamente ligado ao serviço que te enviou o email, é melhor desconfiar. Algumas empresas investem em treinamentos internos para evitar que funcionários cliquem em links ilegítimos. Empresas de tecnologia como o Facebook designam um time para tentar hackear seus colegas de trabalho de tempos em tempos, para manter as pessoas atentas, por exemplo. E o phishing pode enganar até mesmo pessoas com alto nível de educação, como autoridades do governo dos Estados Unidos e grandes empresas de tecnologia como Facebook e Google.

• Leia Mais: Como identificar um link em que você não deveria clicar
• Leia Mais: O guia completo sobre os cookies e coisas assustadoras que sites instalam no seu computador

A infecção por meio de anúncios maliciosos é mais difícil de ser evitada justamente por ela poder estar infiltrada em sites confiáveis. Utilizar extensões para navegadores que bloqueiam anúncios publicitários pode ajudar, mas é uma solução que fere o modelo de negócios da maioria das publicações online. Manter o seu navegador sempre atualizado também irá ajudar a não deixar brechas abertas.

Uma medida efetiva que administradores de redes podem tomar é criar uma lista branca de softwares que podem ser instalados e rodados nas máquinas de um escritório. Dessa maneira, apenas aplicativos pré aprovados funcionem e impede que outros arquivos executáveis sejam instalados. A limitação de permissões também funcionam, não concedendo poderes administrativos para quem usa a máquina. Por último, é possível segmentar o acesso a dados em um único servidor, dividindo os empregados em pequenos grupos. Dessa maneira, se um servidor for infectado por um ransomware, ele não afetará todo mundo.

Imagem: Christiaan Colen/Flickr

Por último, mantenha seu sistema e seus softwares sempre atualizados. Sabemos que poucas coisas irritam mais do que janelas avisando sobre atualização de programas e o processo costuma ser bem chato: é preciso baixar o arquivo e esperar até que as atualizações acabem de ser instaladas. Mas elas frequentemente são aquilo que fica entre você e um hacker.

E se no final das contas você for infectado, desconecte o seu computador da internet o mais rápido possível. Ah, e não basta tirar o cabo da internet: desligue também o Wi-Fi e o Bluetooth, caso o seu dispositivo conte com essas funcionalidades. Isso irá prevenir que outras máquinas sejam afetadas.

Imagem do topo: typographyimages/Pixabay

Sair da versão mobile