FacebookTwitterLinkedIn

Prevenção de Infecções Ransomware

Índice

Introdução

Há sensivelmente 10 anos que os ataques de resgate começaram. Desde então, tornaram-se um dos, se não, o malware principal para extorquir dinheiro às vítimas. Em 10 anos, tornaram-se cada vez mais complexos e avançados e certamente são um grande incómodo para si mesmos. Os ataques de Ransomware aumentaram exponencialmente desde a sua criação e agora fazem parte do nosso léxico moderno. As recentes campanhas de ataque de ransomware, como WannaCry, foram notícias internacionais, muitas vezes essas notícias e artigos subsequentes geralmente lidavam com o custo e inconveniência causados. Pouca atenção foi dada ao que é ransomware, como é distribuído, e talvez o mais importante como evitar tornar-se vítima de tal ataque. A intenção deste artigo é abordar com mais detalhes esses aspectos ignorados em segmentos novos curtos.

O que é Ransomware?

Para apresentar uma definição básica de ransomware, é importante olhar para o que o programa fraudulento procura alcançar, bem como o que o criminoso virtual implanta o programa. Essencialmente, o programa malicioso procura encriptar os dados do utilizador para que não possam aceder aos seus ficheiros. Muitas vezes, os ficheiros encriptados seriam tipos de ficheiros essenciais para informações comerciais ou pessoais que podem destruir reputações ou comprometer os regulamentos de conformidade. Uma vez que os ficheiros são encriptados, uma nota de resgate é disponibilizada ao utilizador que informa como o pagamento deve ser feito essencialmente para desencriptar os dados. Em resumo, os dados do utilizador são efectivamente retirados deles até pagarem um resgate. O pagamento mais frequente é feito em Bitcoin ou cryptocurrency. Estes são usados ??porque exigem um pagamento de ransomware a um certo grau de anonimato.

Ransomware, historicamente, veio em dois diferentes tipos. Um dos primeiros tipos de ransomware lançados procurou bloquear o ecrã dos utilizadores para que o utilizador não pudesse aceder ao seu computador, muitas vezes referido como o ransomware bloqueador. A popularidade deste tipo de ransomware parece estar em declínio. O segundo tipo, usado com mais frequência, são variantes de ransomware que encriptam certos ficheiros, geralmente permitindo ao utilizador aceder de maneira limitada ao seu computador. Este acesso limitado destina-se a permitir que o utilizador faça o pagamento mais fácil e, com expectativa, de forma mais rápida. Estes são referidos como crypto-ransomware. Ao longo dos anos, houve inúmeros termos para descrever o Ransomware, adicionando mais confusão. Termos como crypto-ransomwares, criptovírus e CryptoLockers foram usados ??para descrever o ransomware. Para não adicionar qualquer confusão adicional, o termo ransomware é usado neste artigo para descrever um programa malicioso que encripta ou limita o uso do utilizador do computador com a intenção de extorquir um resgate.

Screenshots de 4 ransomware mais difundidos Cerber, Locky, CryptXXXJaff:

ransomware de prevenção cerber ransomware ransomware de prevenção cryptxxx ransomware ransomware de prevenção jaff ransomware ransomware de prevenção locky ransomware

Resumo do ataque

Enquanto os ataques de ransomware estão em alta, os dados de 2016 mostram que esses ataques aumentaram por um fator de três nesse ano, é essencial saber como esse ataque é realizado. É assim que o programa malicioso é entregue, implantado e como o resgate é extorquido. A forma como o ransomware é entregue ao sistema é investigado com maior detalhe, mas será brevemente abordado nesta seção. A razão pela qual a entrega é tratada em maior detalhe é porque, se pode parar a entrega do ransomware, interrompa a sua implantação. O seguinte pode ser visto como um resumo do ataque:

  1. Entrega:  O ransomware é entregue ao sistema de vítimas em breve de uma das duas maneiras. Ou por e-mail, ou por kit de exploração anexado a um website comprometido. (Isto será abordado em maior detalhe abaixo.)
  2. Execução e encriptação: Muitas vezes, os criadores do programa incluirão inúmeras medidas para evitar a detecção por programas anti-vírus. Um método cada vez mais popular é por injeção de código, que injeta o código em serviços autênticos usados ??pelo sistema operacional. Uma vez que os anti-vírus e firewall tenham sido evitados com sucesso, o ransomware começará a procurar ficheiros que foi programado para encriptar. Muitas vezes, estes podem ser .docx .xlxs ou certos tipos de ficheiros de imagem que serão objectivados. Variantes de ransomware mais avançadas até se podem espalhar para unidades de rede na tentativa de infectar outros computadores e sistemas ligados ao alvo inicial. Uma vez que os ficheiros foram encontrados, o programa irá encriptar, o processo de encriptação começará. Isto pode demorar alguns minutos ou segundos. A variante Chimera encriptou ficheiros com êxito em 18 segundos. Muitas vezes, protocolos de encriptação de 128 bits são usados, tornando a desencriptação excepcionalmente difícil e praticamente impossível para alguém sem o conhecimento necessário.
  3. O Resgate: Uma vez que a encriptação estiver completa, uma nota de resgate ou ecrã de bloqueio será exibido indicando ao utilizador que os seus ficheiros foram encriptados e que têm uma certa quantidade de tempo para fazer o pagamento de outra forma os seus ficheiros serão encriptados permanentemente. Em teoria, uma vez que o pagamento é recebido, o criminoso virtual enviará o código de desencriptação. Houve casos em que o pagamento foi feito, mas nenhum código foi recebido para desencriptar os ficheiros. É importante lembrar que, se estiver disposto a pagar, muitas vezes está lidando com uma empresa criminosa, e não pessoas com princípios morais que orientam os seus negócios imorais. Como sempre, não há garantia de que, uma vez que o pagamento seja feito, receberá o código de desencriptação. Em nota lateral, há negócios que desenvolvem guias de remoção e desencriptação, como o nosso website, que podem ajudar em caso de infecção.

Embora o resumo acima seja um resumo simplificado de como o ataque ocorre na prática, forneceu uma visão única sobre como o ransomware é entregue, implantado e o resgate extorquido da vítima. De seguida, haverá uma discussão mais aprofundada sobre como esses programas mal-intencionados são entregues, ou distribuídos, e como esses ataques podem ser prevenidos.

Como o Ransomware é entregue

Conforme mencionado acima, o ransomware é entregue por meio de dois métodos principais. Esses foram e-mail ou kits de exploração. Se os utilizadores estão conscientes de como esses programas mal-intencionados são entregues, a prevenção é uma perspectiva muito mais fácil. Cada método será examinado por sua vez:

  1. Email:  O e-mail tornou-se um método preferido para distribuir o ransomware e o malware. Uma das razões pelas quais é favorecido é porque se pode confiar, além de ser um método fácil de distribuição. Esse método de uso de e-mails geralmente é chamado de phishing. Um e-mail que parece um e-mail legítimo que possa parecer ser de uma empresa legítima é enviado com anexos que contêm o ransomware, muitas vezes com outros tipos de malware também. Uma vez que esses anexos são abertos, o ransomware será instalado automaticamente no sistema dos utilizadores. Os criadores do ransomware também podem vincular websites comprometidos, ao invés de usar anexos comprometidos. O phishing provou ser um grande sucesso, foi verificado pela Verizon que 30% dos e-mails de phishing foram abertos em 2016. Portanto, a taxa de sucesso é quase um terço de todos os e-mails. Foi adotado pelos desenvolvedores do ransomware como um importante método de distribuição por esse motivo.
  2. Kits de exploração: Basicamente, um kit de exploração permite que o desenvolvedor do ransomware envie códigos mal-intencionados para qualquer website ao qual tenham acesso. O código é projetado para explorar vulnerabilidades no software que o utilizador pode estar a executar. No passado, o Adobe Flash Player foi explorado para fornecer ransomware e várias outras formas de malware. Infelizmente, isso não se limita a websites delineados. Para aumentar a taxa de infecção, os desenvolvedores usarão websites legítimos e populares para distribuir o ransomware. Embora isso seja sinistro, não é motivo para impedir que os utilizadores aproveitem muitos dos benefícios que a Internet oferece. A melhor protecção contra esses ataques é simplesmente manter o seu software atualizado. Os desenvolvedores de software geralmente usam atualizações para apagar vulnerabilidades no seu software, limitando assim as vulnerabilidades que os utilizadores estão expostos. Como veremos, o software de atualização é uma das principais formas de prevenir a infecção.

Screenshots de mensagens de e-mail que são usadas por criminosos virtuais para distribuir o ransomware:

exemplo de email ransomware prevention rogue 2 exemplo de email ransomware prevention rogue 3 exemplo de email ransomware prevention rogue 4 exemplo de email ransomware prevention rogue 21

Screenshots de anexos de e-mail infectados - documentos mal-intencionados que contêm macros que, uma vez capacitado, instalam o ransomware no computador da vítima:

exemplo ransomware prevention rogue macros 1 exemplo ransomware prevention rogue macros 2 exemplo ransomware prevention rogue macros 3 exemplo ransomware prevention rogue macros 4

Embora tudo o que foi coberto até agora possa parecer muito desanimador, existem maneiras de prevenir infecções. Tal como o velho ditado é "prevenir é melhor que remediar", o mesmo se aplica ao ransomware e muitos dos métodos de prevenção do ataque são incrivelmente fáceis de realizar. Muitas vezes exigem apenas uma pequena disciplina e instituindo um processo. Quando se considera que muitas vezes custa uma média de 500 USD para desencriptar ficheiros já encriptados, a prevenção é algo que a sua carteira irá apreciar.

Como prevenir contra a infecção

O seguinte pode ser visto como um guia para aumentar a sua postura de segurança em toda a questão da segurança virtual. Estes são fáceis de implementar e, muitas vezes, não exigem desembolso de capital, antes foram conscientes das ameaças que enfrenta diariamente usando apenas um computador ligado à internet. Aqui estão quatro métodos para ajudar na prevenção da infecção pelo ransomware:

  1. Garantir que o software é actualizado regularmente: Os desenvolvedores de software estão constantemente a actualizar o software com um dos principais objectivos que consiste em reduzir a quantidade de vulnerabilidades que possam ser exploradas por criminosos virtuais. A maioria dos programas informará quando uma actualização for necessária ou será automaticamente actualizada se não desligar esta função. Pode ser visto como uma dor para actualizar constantemente o seu sistema e software, mas quando considera o que pode dar errado, um inconveniente menor é sempre preferível a um grande. A recente onda de WannaCry ataca uma das principais razões pelas quais o ataque foi tão difundido porque as pessoas não descarregaram e instalaram actualizações de segurança vitais. Em muitos casos, em que as pessoas culpavam a Microsoft, em vez dos próprios criminosos virtuais, em certos casos, a Microsoft já havia realizado actualizações para evitar a exploração das vulnerabilidades WannaCry, embora o uso do DoublePulsar, explorado.
  2. Instalar o Software Antivírus: Isso evita apenas ataques de ransomware, mas também previne muitos outros ataques de malware. Existem inúmeros produtos no mercado e exigirão algumas pesquisas de mercado do seu lado sobre quais empresas são respeitáveis. O mesmo se aplica a outros softwares, pois deve manter o seu software antivírus actualizado. Isso é feito para que o software possa bloquear as últimas variantes de malware. Este método de prevenção exige gastar dinheiro arduamente ganho, mas, a longo prazo, pode salvar-se do ataque e ter que gastar dinheiro financiando num sindicato de crime organizado em vez de uma empresa encarregada de proteger o seu computador.
  3. Tenha cuidado na abertura de e-mails e desconfie de pop-ups: Embora existam excelentes produtos de filtragem de e-mail disponíveis no mercado para aumentar ainda mais a sua postura de segurança. É aconselhável comprar esse produto, muitas variantes do ransomware podem ser evitadas adoptando o seu próprio processo de filtragem. Em primeiro lugar, ao abrir emails, veja se está a ser enviado por uma fonte legítima, isso pode ser facilmente observado quando se olha para o endereço do remetente. Se parecer suspeito, não abra nenhum dos anexos. No corpo do e-mail, procure rapidamente por erros ortográficos óbvios e erros de gramática. É improvável que as empresas enviem comunicações de e-mail contendo erros óbvios, pois reflectem mal a empresa. Também esteja ciente de que os bancos e outras instituições financeiras nunca lhe solicitarão informações confidenciais, como palavras-passe para aceder à Internet Banking por e-mail. Algumas variantes do ransomware exigirão que clique numa janela pop-up para implantar o ransomware. Não clique no pop-up e feche-o de forma segura para prevenir a infecção.
  4. Tenha o hábito de criar cópias de segurança: Isso não se relaciona necessariamente com a prevenção, mas se o seu sistema estiver infectado, permitirá ao utilizador excluir e restaurar todos os dados com cópia de segurança de uma data anterior. Ao criar cópias de segurança regulares, pode mitigar os possíveis resultados desastrosos infectados com o Ransomware. A criação de cópias de segurança não é apenas recomendada para combater ameaças virtuais, mas também no caso de um computador falhar. Como um cópia de segurança de precaução extra pode ser feito num disco rígido removível que pode ser desligado do computador e armazenado num local seguro.

Simplesmente empregando estas medidas, pode-se defender contra ou impedir com sucesso um ataque de resgate. Outras empresas e grandes corporações podem instituir políticas de segurança mais estritas que restringem o acesso privilegiado a pessoas educadas quanto às ameaças enfrentadas pela organização. Políticas como entrar em contato com o departamento de TI se um funcionário receber um email suspeito pode salvar a empresa literalmente milhões de dólares no caso de um ataque de malware ou violação de dados.

Conclusão

Um dos principais componentes no combate a ameaças virtuais foi sempre educação. Neste seguimento, espera-se que este artigo tenha esclarecido o que é o ransomware, como é distribuído e importante como se defender contra o ataque ou preferível como prevenir um ataque em conjunto. Ao empregar os métodos listados acima, certamente aumentará a sua postura de segurança e, com toda a certeza, assumirá grandes passos na prevenção de ataques. Apenas fazendo cópias de segurança, por exemplo, limitou o dano causado pelo ataque do ransomware se infectado. Espera-se que tenha achado este artigo informativo e esclarecido sobre as ameaças que representa a vida na era digital.

Sobre nós

O PCrisk é um portal de cibersegurança, que informa os utilizadores da Internet sobre as últimas ameaças digitais. O nosso conteúdo é fornecido por especialistas em segurança e investigadores profissionais de malware. Leia mais sobre nós.

Guia de Remoção de novos vírus
Remoção de Víirus e programas maliciosos

Esta página fornece informações sobre como evitar infeções por malware ou vírus.

Remoção de Víirus

Guias de Remoção dos Vírus principais