Dicas

Guia essencial: como se proteger dos ransomwares

Charlotte Empey, 23 Fevereiro 2018

Você precisa se preocupar com ransomwares? Este guia desvenda tudo o que você precisa saber sobre eles, como se proteger de um ataque e como removê-los se o seu computador já estiver infectado.

A segurança cibernética é uma grande preocupação do mundo atual, tanto no nível corporativo quanto no pessoal. Nossos computadores, dispositivos portáteis, nossa casa inteligente e produtos de IoT são vulneráveis a vários ataques. Apenas em 2017, a Avast bloqueou 35 bilhões de ataques de segurança contra PCs e 208 milhões contra dispositivos móveis Android. Qual foi uma das maiores ameaças à segurança? O ransomware.

O que é o ransomware?

ransomware é um tipo de software maligno (também conhecido como malware) projetado para sequestrar seus arquivos do computador e, às vezes, até mesmo todo o seu computador.

avast_prevents_ransomware_pc_laptop.png

O malware criptografa seus arquivos de forma que eles não podem ser abertos ou bloqueia completamente o seu computador para impedir o acesso a todas os seus vídeos, fotos, arquivos de contabilidade, documentos de trabalho importantes, etc. Os criminosos responsáveis por enviar o malware a você entram em contato para exigir um resgate, prometendo descriptografar os arquivos depois que você efetuar o pagamento (geralmente em Bitcoin).

O ransomware não é uma novidade. O primeiro ataque conhecido ocorreu em 1989 e era disseminado entre os computadores através de um disquete. No mundo atual, totalmente conectado em rede, o acesso fácil a ransomwares de código aberto e o forte ganho financeiro potencial levaram a um aumento na popularidade do ransomware.

anti-malware_security_avast.png

Ransomware é um vírus?

A maioria de nós conhece o termo vírus que usamos para nos referir a todas as formas de malware. A verdade é que vírus é apenas um tipo específico de malware. Outros tipos comuns são os wormsCavalos de Troiaspywares e ransomwares. O objetivo de cada tipo de malware é diferente. Os worms (vermes) replicam-se e reduzem o desempenho do seu computador. Os vírus são projetados para infectar o seu computador, danificar os seus arquivos e, depois, se espalhar por novos hospedeiros. Os Cavalos de Troia querem obter acesso ao seu computador através de uma porta dos fundos secreta e explorar as suas informações pessoais. Há vários motivos para que os criminosos cibernéticos criem e distribuam esses tipos de malware.

Com o ransomware, o motivo é geralmente bastante direto: o criminoso quer dinheiro. De maneira geral, o objetivo não é danificar permanentemente ou destruir seus arquivos, ou mesmo roubar sua identidade, mas convencê-lo a pagar pela chave de descriptografia.

Ransomware em PCs

Todos podem ser alvo de ransomwares. Os ataques mais famosos de ransomware em 2017 afetaram indivíduos e empresas, incluindo grande corporações, hospitais, aeroportos e agências governamentais.

O computador ainda é o alvo mais popular dos ataques de ransomware, pois os cibercriminosos exploram vulnerabilidades conhecidas especialmente no sistema operacional Windows.

Avast-protects-against-wannacry.png

Em maio de 2017, o ransomware WannaCry se espalhou rapidamente por todo o mundo e atacou mais de 100 milhões de usuários.

O WannaCry explorava um ponto fraco do Windows chamado de EternalBlue, que é uma falha (bug) que permite que os cibercriminosos executem um código remotamente através de uma solicitação de compartilhamento de arquivos e impressoras do Windows. A Microsoft lançou uma correção para o EternalBlue dois meses antes do ataque do WannaCry. Infelizmente, muitas pessoas e empresas não executaram a atualização em tempo para evitar os ataques. O EternalBlue chega até o Windows XP, um sistema operacional para o qual a Microsoft não oferece mais suporte, por isso, os usuários do Windows XP foram os mais atingidos pelo WannaCry.

android_phone_with_ransomware.png

Ransomware em dispositivos móveis

A frequência dos ataques de ransomware a dispositivos móveis está aumentando. Os ataques a dispositivos Android aumentaram 50% entre 2016 e 2017. Muitas vezes, o ransomware chega até o dispositivo Android através de um aplicativo em um site de terceiros. No entanto, também vimos casos em que o ransomware foi oculto com sucesso em aplicativos que parecem legítimos na própria Google Play Store.

macbook_with_ransomware

Ransomware em produtos Apple

Os fãs da Apple também não estão seguros. No passado, os usuários do Mac eram geralmente menos susceptíveis a ataques de malware. No entanto, à medida que os produtos da Apple conquistam uma maior participação no mercado, eles também ganham mais atenção dos desenvolvedores de malware. Em 2017, duas empresas de segurança descobriram programas de ransomware e malware especificamente direcionados a usuários da Apple, supostamente desenvolvidos por engenheiros de segurança especializados em OS X. As pessoas que o criaram estavam até disponibilizando o malware gratuitamente na dark web. Ataques malignos também acessaram as contas do iCloud de usuários do Mac e usaram o serviço Find My iPhone para impedir que as pessoas acessassem os seus computadores.

types_of_ransomware_avast_protects_against.png

Tipos de ransomware

Os ransomwares possuem várias formas e a principal característica comum a todos eles é a solicitação do pagamento de um resgate. (Em 2017, vimos alguns casos em que instituições financeiras foram atingidas por um ataque parecido com o ransomware, mas a meta não parecia ser monetária. O ransomware pode ser usado para ocultar espionagem ou outro tipo de ataque cibernético).

crypto-malware_Protection_avast.png
  • Malware criptografador: o tipo mais comum de ransomware é conhecido como crytomalware ou ransomware criptografador e, como o nome sugere, é o tipo que criptografa seus arquivos. Você ainda consegue acessar o seu computador, mas não consegue abrir seus arquivos. O WannaCry é um ótimo exemplo desse tipo de ransomware.

locker_ransomware.png
  • Bloqueador: o ransomware bloqueador impede completamente o seu acesso ao computador. O ransomware Petya, que surgiu em 2016 e retornou em uma forma mais avançada em 2017, usa a abordagem de bloqueador criptografando a tabela de arquivos mestre do seu disco rígido para bloquear todo o seu computador.

doxware_ransomware.png
  • Doxware: o doxware envia uma cópia dos seus arquivos sensíveis e privados para o computador do criminoso, que ameaça publicá-los online se não houver o pagamento do resgate. Imagine alguém ameaçando publicar seus vídeos ou fotos mais íntimos em um site público para que todos possam ver. O ransomware Ransoc usou o método de doxing.

scareware_ransomware.png
  • Scareware: o scareware é um programa de software falso que afirma ter encontrado problemas em seu computador e exige dinheiro para corrigi-los. O scareware pode inundar sua tela com pop-ups e mensagens de alerta ou até bloquear o seu computador até que seja feito o pagamento de um resgate.

Um dos motivos pelo qual os ransomwares se tornaram malwares tão populares é a sua imediata disponibilidade online para que os criminosos os usem. A Avast descobriu que aproximadamente um terço de todas as “novas” famílias de ransomwares têm origem em uma única linhagem de código aberto. Além disso, os cibercriminosos continuam a atualizar o seu código para refinar os seus ransomwares e melhorar a sua criptografia, por isso, certas famílias de ransomware podem retornar várias vezes, como o Petna.

Como o objetivo final do criminoso é espalhar o ransomware pelo maior número de computadores possível para que possam maximizar seus ganhos, surgiu uma tática alternativa de pedido de resgate.

petya_ransomware_on_laptop.png
No ransomware Popcorn Time, o autor do ataque solicita que a vítima infecte dois outros usuários. Se ambos pagarem o resgate, a vítima original receberá seus arquivos de volta, de graça.

Como meu dispositivo é infectado?

how_does_my_device_get_infected_with_ransomware.png

O que assusta em relação ao ransomware é que, ao contrário do vírus, ele pode atacar o dispositivo sem nenhuma ação da sua parte. Um vírus exige que o usuário baixe um arquivo infectado ou clique em um link infectado, mas o ransomware sozinho pode infectar um computador vulnerável.

  • exploits_ransomware.pngKits de exploitcriminosos desenvolveram kits de exploit que contêm código pré-escrito, projetado para explorar problemas como o EternalBlue, que descrevemos anteriormente. Esse tipo de ransomware pode infectar qualquer computador conectado na rede que esteja com softwares desatualizados. Um dia, você liga o seu computador e pronto! Todos os seus arquivos estão bloqueados.

  • anti-phishing_social_engineering.pngEngenharia social: outras formas de ransomware aproveitam métodos testados e aprovados para infectar o seu computador. A engenharia social (ou phishing) descreve o ato de enganar as pessoas para que elas baixem malware de um anexo ou link na web. Esses arquivos geralmente chegam através de emails que parecem ser de uma fonte confiável e o anexo ou link se parece com um formulário de pedido, recibo, conta ou aviso importante. A falsa extensão do arquivo faz com que ele se pareça com um arquivo PDF ou do Excel/Word, mas, na verdade, é um arquivo executável disfarçado. O usuário baixa e clica no arquivo e a desgraça começa. (Porém, ela pode não começar imediatamente. Alguns ransomwares são projetados para se esconder em seu computador por um tempo pré-estabelecido e assim dificultar a identificação da sua origem).

protection_against_malvertising.png
  • Malvertising: o malvertising é outro método de infecção, no qual o criminoso usa uma rede de anúncios para distribuir o seu malware. O anúncio falso pode ser distribuído até mesmo por sites confiáveis. Se o usuário clicar no link do anúncio, o ransomware é baixado em seu computador.

  • Downloads automáticos são arquivos malignos que são baixados em seu computador sem nenhuma ação direta da sua parte. Alguns sites suspeitos se aproveitam dos navegadores e aplicativos desatualizados para baixar malware secretamente em seu computador, enquanto você inocentemente navega na web.

Independentemente de como o ransomware entra em seu computador, assim que ele é executado, ele normalmente funciona assim: o ransomware começa a alterar os arquivos (ou as estruturas dos arquivos) de maneira que eles podem ser lidos ou usados novamente, apenas se forem restaurados ao seu estado original. Para garantir a comunicação entre o malware e o computador de comando (o computador que o criminoso usa para dirigir remotamente o computador da vítima), usa-se criptografia. É exatament a mesma criptografia que poderá liberar os dados ou recuperar a chave de descriptografia necessária para restaurar os arquivos ou o sistema de arquivos à sua forma original. 

Quando todos os arquivos estão bloqueados, uma nota de resgate é exibida em sua tela, informando quanto você precisa pagar para descriptografar os arquivos, onde e como transferir os fundos, além de quanto tempo você tem para fazer isso. Se perder o prazo, o preço aumenta. Se tentar abrir algum arquivo criptografado, você receberá uma mensagem de erro informando que o arquivo está corrompido, é inválido ou não pode ser localizado.

Como posso remover ransomware?

O ato de remover o ransomware não é nem um pouco difícil. Se o criminoso usou ransomware de criptografia e você ainda conseguir entrar em seu computador, você poderá colocar o computador em Modo de Segurança (saiba como) e, depois, executar um escaneador antivírus para localizar e excluir o malware.

Se o ransomware for do tipo bloqueador que impede totalmente o acesso ao computador, então você tem três opções: reinstalar o sistema operacional; executar um programa antivírus de uma unidade externa ou inicializável; ou executar uma restauração do sistema e recuperar o Windows para um momento antes que o ransomware foi carregado. Veja como restaurar o sistema em computadores com Windows:

Restauração do sistema no Windows 7:

  • Quando o seu computador estiver iniciando, pressione F8, para exibir o menu de opções avançadas de inicialização (boot).
  • Escolha reparar o seu computador de depois tecle Enter.
  • Entre com o seu nome de usuário do Windows e senha. Você pode deixar em branco se não tiver nenhum.
  • Selecione Restauração do Sistema.

Restauração do sistema no Windows 8, 8.1 ou 10:

  • Enquanto o seu computador reinicia, mantenha a tecla Shift pressionada. Você entrará na tela de recuperação (reinicie se isso não funcionar).
  • Selecione Solucionar problemas.
  • Acesse as opções avançadas.
  • Selecione Restauração do Sistema.

Dispositivos Android:
Em dispositivos Android, o procedimento a seguir é composto por várias etapas gerais para remover o malware entrando no Modo de Segurança e desinstalando os aplicativos suspeitos. Esse procedimento pode ser diferente dependendo do seu dispositivo.

  • Inicie o Android no Modo de Segurança:
    Localize o botão liga/desliga e depois pressione-o por alguns segundos até ver um menu. Clique em desligar. Assim que receber uma janela de diálogo que sugere reiniciar seu Android no Modo de Segurança, selecione essa opção e pressione OK. Se isso não funcionar, basta desligar seu dispositivo e depois ligá-lo. Assim que ele se tornar ativo, tente pressionar e manter os botões Menu, reduzir volume, aumentar volume ou todos esses botões juntos para ver a opção do Modo de Segurança.
  • Desinstale os aplicativos malignos e/ou qualquer aplicativo suspeito e desconhecido:
    Quando estiver no Modo de Segurança, acesse as Configurações. Depois, clique em Aplicativos ou Gerenciador de aplicativos (isso pode ser um pouco diferente, dependendo do seu dispositivo). Procure pelos aplicativos suspeitos anteriormente mencionados e desinstale todos eles.

Dispositivos Mac:
Embora o ransomware seja menos comum em Macs, você deve seguir o mesmo procedimento geral para entrar no Modo de Segurança e excluir o malware.

  • Reinicie seu Mac no Modo de Segurança. Pressione e mantenha pressionada a tecla Shift imediatamente após ouvir o som de reinicialização. Solte a tecla Shift quanto o logotipo da Apple for exibido. A reinicialização segura é exibida na tela de inicialização do Mac OS X.

  • Use um software antivírus para remover o malware.

    how-can_i_recover_my_files.png

Como posso recuperar meus arquivos?

Infelizmente, remover o ransomware não fornece acesso instantâneo a todos os seus arquivos criptografados. A dificuldade em recuperar seus dados depende do nível de criptografia. Se for um ransomware básico usando criptografia básica, uma das ferramentas de descriptografia gratuita de ransomware provavelmente irá funcionar. Se o seu computador tiver sido infectado por um ransomware mais sofisticado, como, por exemplo, o WannaCry, a criptografia utilizada pode tornar impossível a recuperação dos arquivos que foram bloqueados.

Agora, alguns de vocês podem estar pensando que a melhor maneira de recuperar os arquivos é simplesmente pagar o resgate. Muitas pessoas decidiram fazer isso e, por isso mesmo, o ransomware se tornou uma forma tão popular de malware. Se os cibercriminosos continuarem ganhando dinheiro, eles continuarão criando ransomwares.

Tenha isso em mente: não há garantia de que o criminoso realmente manterá sua palavra e descriptografará os arquivos após o pagamento. Eles podem simplesmente pegar o dinheiro e fugir. Ou, se virem que você está decidido a pagar, poderão aumentar instantaneamente a quantia do resgate. Além disso, sua vontade de pagar o torna alvo de outro ataque no futuro.

Deve-se também notar que alguns ransomwares têm um código tão ruim que, depois que os arquivos são criptografados, eles não podem ser mais descriptografados e estão perdidos para sempre. O Petna é um exemplo disso. Por isso, mesmo pagando, é possível que você não recupere seus arquivos.

ransomware_protection_by_avast.png

Proteção: como evitar um ataque de ransomware

A melhor maneira de lidar com um ataque de ransomware é evitar que ele aconteça. Por isso, você deve:

  1. Atualizar seu sistema operacional e seus aplicativos. Sim, todos sabemos que as notificações de atualização do sistema do Windows podem ser irritantes, mas não as ignore. (Não ignore também as atualizações em seus dispositivos móveis ou produtos de IoT). Muitas atualizações do sistema envolvem correções de segurança que são cruciais para manter a segurança dos seus dispositivos. Se ainda usar um sistema operacional antigo para o qual a Microsoft não presta mais suporte, como o Windows XP, então você está particularmente vulnerável a ataques e realmente deveria pensar em atualizar para um sistema operacional mais recente.

    Também é importante atualizar o software do seu computador, especialmente seus navegadores e plug-ins.


  2. Faça backup dos seus arquivos. É importante criar backups regulares do sistema em um dispositivo externo, seja um HD USB, uma unidade NAS ou armazenamento em nuvem. No mínimo, você deve fazer backup dos seus arquivos mais importantes e valiosos, para que eles estejam em segurança contra malware e falhas do disco rígido. Atualmente, o armazenamento é barato e as opções são abundantes, tanto nas categorias de USB quanto NAS. Existem também vários sistemas de armazenamento baseado em nuvem gratuitos, incluindo o Dropbox, o Google Drive, o MEGA e o OneDrive.
    backup-your-files-to-protect-against-ransomware.png

  3. Use um software antivírus e mantenha-o atualizado. A Avast oferece vários níveis de proteção antivírus (o Avast Free Antivírus é gratuito!) para protegê-lo contra ransomware e outros malwares. Para os clientes empresariais, nosso novo software de proteção de terminais do Avast Business oferece forte proteção de dados, dispositivos e identidade de nível empresarial para todos os bolsos. Para o canal de TI, integramos isso diretamente em nossos produtos Managed Workplace e CloudCare. Assim como os cibercriminosos refinam seus malwares, a Avast está sempre melhorando o seu software antivírus, por isso, é importante mantê-lo sempre atualizado.

  4. Preste atenção nas técnicas manipuladoras da engenharia social. Isso pode ser óbvio, mas nunca abra ou clique em links ou arquivos de fontes desconhecidas. Se receber um email com um anexo questionável, exclua-o sem abrir. Se conhecer a pessoa que enviou o email, você pode verificar com ela se o anexo é legítimo. Também preste atenção em mensagens que tentam enganá-lo(a) para clicar em links e enviar você para sites malignos. Você pode recebê-las por email, mensagem de texto ou até mesmo nas redes sociais. Especialmente se você for solicitado(a) a fornecer informações pessoais, verifique com atenção se o site possui o protocolo HTTPS ativado. Como você pode saber? Procure pelo símbolo de cadeado verde em seu navegador, uma dica visual que ajuda a garantir se o site é seguro.