O que é ransomware? Entenda como funciona e como remover o malware

Evidjuri
Evidjuri
Segurança
07/12/2023
O que é ransomware? Entenda como funciona e como remover o malware
Conheça os tipos mais perigosos, como se proteger e o que fazer em caso de infecção. Um guia completo para manter seus dados seguros no mundo digital.

O ransomware é um tipo de malware que sequestra o computador da vítima e cobra um valor em dinheiro pelo resgate, geralmente usando a moeda virtual bitcoin, que torna quase impossível rastrear o criminoso que pode vir a receber o valor. Este tipo de "vírus sequestrador" age codificando os dados do sistema operacional de forma com que o usuário não tenha mais acesso. Uma vez que algum arquivo do Windows esteja infectado, o malware codificará os dados do usuário, em segundo plano, sem que ninguém perceba.

Quando tudo estiver pronto, ele emite um pop-up avisando que o PC está bloqueado e que a pessoa não pode mais usá-lo, a menos que pague o valor exigido de resgate para obter a chave que dá acesso novamente aos seus dados. A seguir, saiba o que é ransomware, conheça os mais perigosos – como o WannaCry –, e veja como remover e descriptografar arquivos.

1. O que é ransomware e o que significa?

Ransomware é um tipo de malware (software malicioso) que criptografa os arquivos de um computador ou sistema, tornando-os inacessíveis ao usuário. A tradução do termo "ransomware" vem da combinação das palavras "ransom" (resgate) e "software".

A ação do ransomware geralmente ocorre da seguinte maneira: uma vez que o malware infecta o sistema, ele criptografa os arquivos importantes e exibe uma mensagem informando ao usuário que seus arquivos foram bloqueados. Para desbloquear os arquivos, o usuário é solicitado a pagar um resgate (geralmente em criptomoedas) aos cibercriminosos responsáveis pelo ataque.

O objetivo principal do ransomware é obter ganhos financeiros ilegais por meio da extorsão dos usuários. Os criminosos ameaçam que, se o resgate não for pago dentro de um determinado prazo, os arquivos serão permanentemente perdidos ou divulgados publicamente. Esse tipo de ataque pode ter consequências significativas – isso porque muitos indivíduos, empresas e organizações dependem de seus dados para operar normalmente.

Existem diferentes variantes de ransomware, e eles podem se espalhar por meio de diversos métodos, como anexos de e-mail maliciosos, downloads de arquivos infectados, exploração de vulnerabilidades de software e até mesmo por meio de anúncios ou links suspeitos na internet.

A prevenção é fundamental para evitar infecções por ransomware, incluindo a adoção de medidas de segurança cibernética, como manter o sistema operacional e os softwares atualizados, utilizar software antivírus e fazer backup regularmente dos dados importantes.

2. Como os criminosos instalam o ransomware?

A difícil detecção de um ransomware e seus disfarces são os fatores que o tornam tão perigoso. A praga pode infectar o seu PC de diversas maneiras, seja por meio de sites maliciosos, links suspeitos por e-mail, ou instalação de apps vulneráveis. O ransomware também pode aparecer também em links enviados por redes sociais, meio muito utilizado para espalhar vírus atualmente.

Em janeiro de 2016, foi descoberto um ransomware brasileiro que emite um janela parecida com um pedido de atualização do Adobe Flash Player. Quando o usuário clica no link para atualizar, o malware infecta a máquina e, em pouco tempo, sequestra os dados da vítima. Na época, a descoberta foi feita pelo Kaspersky Lab, que também divulgou o valor da extorsão dos criminosos – por cerca de R$ 2 mil em bitcoin.

3. Qual é o ransomware mais perigoso?

Em março de 2016, o FBI emitiu um alerta preocupado com o ransomware MSIL/Samas, sendo este um dos mais perigosos atualmente, pois ele não infecta computadores individualmente, mas sim redes inteiras. Segundo informações da agencia de notícias Reuters, o grupo responsável pelo ataque usa um programa de segurança disponível ao público para verificar se há versões vulneráveis do software JBoss, para em seguida iniciar o ataque.

De acordo com a Cisco, o autor do malware inicialmente estaria pedindo 1 bitcoin para liberar cada máquina infectada da rede, mas que esse valor subiu algumas vezes para testar o quanto as vítimas estariam dispostas a pagar pelo resgate. Pela cotação da época, 1 bitcoin equivalia a R$ 1.915,00.

4. Quais os tipos de ransomware?

Existem diversos tipos de ransomware, cada um com suas características específicas. No entanto, dois dos tipos mais comuns são o Crypto Ransomware e o Locker Ransomware.

Crypto Ransomware: esta é uma categoria de ransomware que se concentra em criptografar os arquivos do usuário para torná-los inacessíveis. Ele usa algoritmos de criptografia avançados para transformar os arquivos originais em uma forma ilegível, exigindo uma chave de descriptografia para restaurá-los. Normalmente, o usuário é notificado sobre o ataque por meio de uma mensagem exibida na tela, contendo instruções sobre como pagar o resgate e obter a chave de descriptografia. Exemplos populares de Crypto ransomware incluem o WannaCry e o CryptoLocker.

Locker Ransomware: este, por sua vez, não criptografa os arquivos do usuário, mas bloqueia o acesso ao sistema operacional ou a determinadas funcionalidades do computador. Ele impede que o usuário acesse o ambiente de trabalho, os aplicativos ou até mesmo a conexão com a Internet. O Locker ransomware costuma exibir uma mensagem na tela inicial do sistema, informando que o computador foi bloqueado e que um resgate deve ser pago para desbloqueá-lo. Exemplos conhecidos de Locker ransomware são o Reveton e o Police-themed ransomware.

É importante ressaltar que essas categorias não são mutuamente exclusivas, e alguns ransomwares podem combinar elementos de ambos os tipos. Além disso, a evolução constante do cenário de ameaças cibernéticas pode levar ao surgimento de novas variantes de ransomware com características diferentes das mencionadas acima.

Portanto, é crucial manter-se atualizado sobre as últimas tendências e adotar práticas sólidas de segurança para minimizar o risco de infecção por ransomware.

5. Como se proteger do ransomware?

A Microsoft tem em seu site uma página toda dedicada ao ransomware e como se prevenir desta praga. Ter o Firewall do Windows sempre ativado e os programas sempre atualizados são os primeiros passos para uma boa proteção. A empresa recomenda que a atualização automática esteja ligada.

Os usuários do Windows 7 ou Windows Vista devem verificar se o antivírus Microsoft Security Essentials está instalado e atualizado. Para o usuários do Windows 8, Windows 10 e Windows 11, o Microsoft Windows Defender ou Windows Security faz este trabalho. Caso queira, você pode optar por um antivírus de outras empresas de sua preferência, contanto que esse seja confiável e tenha boa reputação. Veja os melhores antivírus grátis para Windows.

A preocupação com este tipo de malware é tão grande que algumas empresas de TI estão desenvolvendo soluções específicas. É o caso do Bitdefender Anti-Ransomware, um pequeno software que permanece ativo em segundo plano monitorando o sistema operacional. O programa age preventivamente e informa ao usuário se alguma tentativa de invasão ocorrer. Outro produto disponível no mercado é o Malwarebytes Anti-Ransomware.

6. Como remover um ransomware?

Uma vez que o computador esteja bloqueado, é muito difícil a remoção do ransomware, pelo fato de que o usuário não consegue sequer acessar o seu sistema. Por isso, toda ação preventiva é válida. O melhor caminho é manter o antivírus sempre atualizado e programá-lo para fazer buscas regulares no sistema atrás desses vírus, para que ele seja detectado antes que seja ativado.

É fundamental ter sempre backup atualizado de suas informações e arquivos, caso precise formatar totalmente o computador infectado, para não perder nenhum dado importante. No mais, vale as mesmas dicas para todo tipo de vírus: não clique em links de SPAM do e-mail, desconfie sempre dos vídeos ou links suspeitos supostamente enviados por um amigo no Facebook ou WhatsApp, por exemplo.

Se não for do perfil da pessoa enviar este tipo de conteúdo, verifique com ele no chat antes de clicar. Não baixe torrents suspeitos e só instale programas de sites confiáveis.

Remover um ransomware pode ser um processo complexo, pois varia de acordo com o tipo específico de ransomware e a extensão da infecção. No entanto, aqui estão algumas etapas gerais que você pode seguir para tentar remover um ransomware do seu sistema:

  • Isolamento: é importante isolar o computador ou sistema infectado da rede para evitar que o ransomware se espalhe para outros dispositivos ou computadores. Desconecte-o imediatamente da Internet e de qualquer rede local;
  • Identificação: descubra qual tipo de ransomware infectou o sistema, se possível. Isso pode ajudar a encontrar ferramentas ou soluções específicas disponíveis para combater essa variante em particular;
  • Relatório: faça um relatório da infecção para as autoridades competentes, como a polícia local ou o CERT (Computer Emergency Response Team) do seu país. Eles podem fornecer orientações adicionais e ajudar no combate a atividades criminosas;
  • Remoção do malware: utilize um programa antivírus atualizado para fazer uma varredura completa no sistema e remover o ransomware. Certifique-se de que seu antivírus está atualizado com as últimas definições de malware;
  • Restauração do sistema: dependendo da gravidade da infecção, pode ser necessário restaurar o sistema a um ponto anterior ou reinstalá-lo completamente. Isso ajuda a remover qualquer vestígio do ransomware e garantir um ambiente limpo;
  • Recuperação de dados: se você tiver backups recentes dos seus arquivos, pode restaurá-los após remover o ransomware e garantir que o sistema esteja seguro. Caso contrário, pode ser difícil recuperar os arquivos criptografados sem a chave de descriptografia, a menos que haja ferramentas de descriptografia disponíveis para a variante específica do ransomware que infectou o sistema. Verifique sites confiáveis de segurança cibernética ou entre em contato com especialistas em segurança para obter ajuda nesse processo.

Lembre-se de que a prevenção é fundamental para evitar infecções por ransomware. Mantenha seu sistema operacional e softwares atualizados, tenha um software antivírus confiável, faça backups regularmente e evite abrir anexos de e-mail ou clicar em links suspeitos.

7. Devo pagar o resgate do ransomware?

Não é recomendado pagar o resgate do ransomware. A seguir, estão algumas razões pelas quais o pagamento do resgate não é aconselhável:

  • Não há garantia de recuperação dos arquivos: mesmo que você pague o resgate exigido, não há garantia de que os criminosos fornecerão a chave de descriptografia necessária para recuperar seus arquivos. Eles podem simplesmente desaparecer ou fornecer uma chave incorreta, deixando seus arquivos inacessíveis;
  • Incentivo aos criminosos: ao pagar o resgate, você está financiando e incentivando as atividades criminosas. Isso encoraja os cibercriminosos a continuar realizando ataques de ransomware e prejudicando outras vítimas;
  • Riscos de segurança: ao fornecer informações de pagamento, como detalhes do cartão de crédito ou endereço de carteira de criptomoedas, você está expondo-se a riscos adicionais. Os criminosos podem usar essas informações para cometer fraudes financeiras ou até mesmo vender seus dados pessoais a terceiros;
  • Apoio a atividades ilegais: pagar o resgate também contribui para a economia subterrânea e o financiamento de atividades ilegais, como o desenvolvimento de ransomware e outras ameaças cibernéticas.

8. Ransomware no Mac OS X

Em março de 2016, no mesmo mês que o FBI emitiu um alerta mostrando preocupações com estes vírus, a Palo Alto Networks, empresa especializada em segurança digital, descobriu o primeiro ransomware criado para o sistema Mac OS X. Na ocasião, o malware Key Ranger infectou algumas máquinas por meio do programa Transmission BitTorrent.

Assim como outros scripts similares, ele é capaz de criptografar todo o disco rígido em apenas três dias e, assim, sequestrar o Mac – impedindo que o usuário tenha acesso aos seus dados.

Os especialistas recomendam que o usuário fique de olho no arquivo “kernel_service” no monitor de atividades do OS X – isso porque, se ele estiver ativo, é recomendado restaurar o sistema para uma versão anterior em um backup e, assim, evitar um futuro sequestro. Pode parecer um simples arquivo do sistema, mas na verdade trata-se do Key Ranger em ação.

Na época, para solucionar o problema, a Transmission Project lançou a versão 2.92 do Transmission BitTorrent. De acordo com os desenvolvedores, essa atualização remove os arquivos infectados do Mac.

Fonte: TechTudo