Dúvidas sobre ransomware? Aqui tem dez perguntas respondidas!

Os ataques via ransomware, que infectam computadores e redes inteiras roubando seus arquivos e pedindo um valor em dinheiro para devolvê-los, têm explodido ao redor do mundo nos últimos tempos. Vimos o ataque do WannaCrypt na Europa, que chegou à América e atingiu até mesmo empresas brasileiras, por exemplo, e também houve o caso do Petya, que posteriormente foi desmascarado como um ransomware, sendo que, na verdade, se tratava de um wiper — ataque destruidor incapaz de recuperar os arquivos furtados.

Mas o que é, exatamente, um ransomware, e como ele funciona? Muitas dúvidas pairam no ar quanto a essa modalidade de crime virtual, mas o pessoal da ESET respondeu um questionário com as dez principais dúvidas que as pessoas estão tendo a esse tipo de ataque. “O ataque da semana passada e o estrago provocado por ele em empresas de todo o mundo deixou claro que muitas corporações ainda tinham sistemas desatualizados, falta de soluções de segurança e plano de contingência, mesmo com outros ataques semelhantes recentes”, explicou Camillo Di Jorge, presidente da ESET Brasil. Para o executivo, isso “demonstra que muitas organizações ainda não estão preparadas para lidar com os riscos associados a ambientes de negócio cada vez mais virtuais”.

1) Quais as características deste ransomware?

O executivo explicou que ele se diferencia por três aspectos diferentes. “O primeiro se refere à questão da encriptação — o ransomware não só encripta arquivos de uma extensão específica, mas sim o Master Boot Record, que é o registro mestre de inicialização do computador”. O outro ponto diz respeito à forma de propagação, já que ele usa diversas técnicas diferentes para infectar as máquinas, enquanto o terceiro ponto é como ele explora as vulnerabilidades dos sistemas desatualizados.

2) Qualquer ransomware é tão poderoso quanto o WannaCrypt?

Pode ser sim, já que o impacto é o mesmo. O ataque encripta a informação do que está nos equipamentos, e, quando a máquina é reiniciada, o sistema operacional se torna inutilizável até o pagamento do resgate.

3) A ameaça faz exatamente o quê?

“Logo que o ransomware é executado, ele cria uma tarefa programada para reiniciar o computador em até uma hora”, explica Di Jorge. Na sequência, ele começa a cifrar arquivos com determinadas extensões, eliminando os registros de seus eventos para não deixar rastros.

4) Como um ransomware avança entre os países?

Segundo Di Jorge, “a propagação é justamente uma das características desta ameaça”. Uma vez que o computador foi infectado, o ransomware extrai os dados daquele usuário e aciona comandos executáveis para buscar suas pastas e dados compartilhados, se propagando pela rede onde a máquina funciona. Dessa forma, a ameaça vai se espalhando, não somente via rede local, como também por redes virtuais. No caso do WannaCrypt, ele chegou ao Brasil por meio de empresas multinacionais conectadas com filiais europeias e asiáticas que tiveram seus sistemas contaminados.

5) O que se pode fazer para evitar um ataque?

Contar com um bom antivírus devidamente atualizado é o primeiro passo. Além disso, a rede deve estar configurada e segmentada corretamente, e os técnicos de TI da empresa precisam monitorar o tráfego constantemente a fim de detectar comportamentos anormais. Já quanto às senhas, “é fundamental que haja uma gestão, já que uma máquina com credencial de administrador infectada pode espalhar o malware por toda a rede”, conforme explica a ESET.

6) Fui infectado. O que fazer?

Di Jorge explica que é possível usar técnicas forenses para usar outro sistema operacional na memória e, desta forma, recuperar os arquivos que foram encriptados. Mas, além de aplicar backups, não há muito mais o que fazer, caso não queira reinstalar todo o sistema operacional e começá-lo do zero.

7) Como os cibercriminosos estão agindo? Eles esperam um resgate?

Ao infectar uma máquina, os criminosos virtuais exibem na tela daquele computador as instruções para que seja feito o pagamento do resgate, que costuma ser feito em Bitcoins, já que essa moeda digital ainda vive em uma espécie de área cinza em questões de legalidade.

8) Por que o sequestro de dados está ficando tão comum?

Um dos motivos para que esse tipo de ataque se alastre tão rapidamente é a falta de conscientização e o nível de segurança insuficiente de muitos usuários e empresas. “Muitos ainda desconhecem o impacto de um ciberataque como este até se tornar uma vítima e se ver obrigado a pagar o resgate”, explica Di Jorge.

9) O ataque é organizado por quem?

Dificilmente apenas uma pessoa estará por trás de um ataque tão bem planejado como o ransomware, uma vez que a ameaça incorpora várias técnicas de exploração, propagação e encriptação. Mas, como esses grupos não assumem a autoria dos ataques, não se sabe exatamente quantas pessoas podem estar por trás de ataques desta magnitude.

10) É possível descobrir quem são esses cibercriminosos?

Como não existe um centro de controle que se conecte com a ameaça para permitir que se identifique os autores do ataque (como acontece com um botnet, por exemplo), ainda não é possível identificar quem são esses criminosos.