Blogs de la ICANN

Los blogs de la ICANN brindan información actualizada sobre actividades de desarrollo de políticas, eventos regionales y demás novedades.

O que é ransomware?

13 de marzo de 2017
Por Dave Piscitello

null

Ransomware é um ataque cibernético (um vírus) usado para extorquir dinheiro. Originalmente, os criminosos usavam o ransomware para obrigar as pessoas a pagarem para recuperar informações pessoais. Hoje em dia, os criminosos cibernéticos obrigam as empresas a pagarem pela recuperação de informações confidenciais. Ninguém está imune ao ransomware. Os criminosos extorquiram pagamentos pela recuperação de dados pessoais e médicos de empresas de planos de saúde e deixaram hóspedes trancados do lado de fora dos seus quartos em hotéis. Até mesmo os sistemas industriais podem estar vulneráveis ao ransomware.

Os primeiros ransomwares, chamados de locker ransomware, impediam que a vítima acessasse um computador ou navegador. Os criminosos evoluíram rapidamente para um tipo de crypto-ransomware mais sofisticado, que criptografa informações em computadores ou dispositivos móveis. Essas duas formas enviam uma notificação de extorsão para o usuário: compre um software de descriptografia ou uma chave de descriptografia, senão perderá seus dados para sempre.

Anatomia de um ataque de ransomware

Uma forma comum de entrega de ransomwares é por meio de anexos maliciosos em mensagens de e-mail. Os usuários, mesmo indo contra o bom senso, são convencidos, com a ajuda de uma engenharia social, a abrir o anexo. O anexo é geralmente uma forma de malware instalado automaticamente que costuma ser chamado de Cavalo de Troia ou arquivo de vírusdropper. Depois de instalado, o dropper se inscreve no botnet de um invasor entrando em contato com o C2 (comando e controle) do botnet. Depois de estabelecido o contato, o C2 gera e retorna material para a geração de chave de criptografia para o dropper do ransomware (e possivelmente outros códigos maliciosos). O dropper do ransomware usa o material de geração de chave para criptografar arquivos pessoais no dispositivo infectado. Em seguida, ele publica uma notificação de extorsão, exigindo que a vítima faça um pagamento de resgate de uma chave que fará a descriptografia dos dados aos quais o usuário perdeu o acesso.

Muitos ataques de ransomware ameaçam as vítimas com a perda permanente dos arquivos pessoais se o resgate não for pago em até 24 horas. Para enganar ainda mais, algumas notificações são parecidas com as de autoridades de fiscalização ou agências governamentais e representam a extorsão como uma multa.

Ransomware explora o Sistema de Nomes de Domínio público

Os droppers de ransomware às vezes usam endereços IP (Internet Protocol, Protocolo da Internet) com hard-code para se conectar ao C2. Quando os droppers usam endereços IP com configuração estática, os investigadores podem usá-los para identificar e desconectar rapidamente os C2s de ransomware do botnet. Para serem mais evasivos, os ransomware mais avançados identificam um C2 com a geração algorítmica de nomes de domínio. Os droppers modernos de ransomware usam o DNS (Domain Name System, Sistema de Nomes de Domínio) para resolver nomes de domínio que são alterados pelos criminosos com frequência, conseguindo permanecerem ocultos aos investigadores.

Não pague o resgate!

As autoridades legais e os especialistas em segurança concordam: não pague o resgate! Não há motivo para confiar que o criminoso dará o acesso para descriptografar seus arquivos pessoais se você pagar. O criminoso pode desaparecer, continuar a extorsão ou enviar a você chaves de descriptografia que não funcionam.

Defesa proativa contra ransomware

Para se defender contra ransomware, faça “backup”. Se você arquivar regularmente os dados pessoais ou confidenciais em um dispositivo externo ou na nuvem, as ameaças do criminoso cibernético serão inúteis. Tenha cuidado para fazer backup especialmente quando você viajar.

Depois, use a Internet com segurança. É recomendado tomar estas medidas para minimizar a probabilidade de ser infectado por ransomware:

  • Mantenha todos os “patches” do seu laptop atualizados.
  • Não compartilhe pastas.
  • Mantenha o antivírus atualizado.
  • Use um resolvedor do DNS de confiança.
  • Desative a execução de macros.
  • Use uma proteção contra ransomware.

Depois disso, certifique-se de ter os meios para recuperar rapidamente o sistema operacional, aplicativos e dados arquivados, caso seu dispositivo seja infectado por ransomware. Tanto empresas quanto usuários físicos devem investigar mais sobre os serviços de recuperação de imagem.

É possível se proteger de outras maneiras. Consulte 22 dicas de prevenção contra ransomware.

Se você receber um pedido de resgate…

Lembre-se: não pague! Entre em contato com um amigo com conhecimento técnico, um profissional de informática qualificado ou o departamento de TI da sua organização para ajudar você a identificar o ransomware. Eles também podem ajudar a localizar repositórios de confiança para a recuperação de arquivos excluídos ou software de resgate de disco, kits de remoção de ransomware ou programas de descriptografia, além de repositórios on-line de chaves de recuperação. Um desses recursos é o https://www.nomoreransom.org/, que, apesar da aparência estranha, é um site confiável.

Não seja uma vítima

Os criminosos cibernéticos usam meios cada vez mais sofisticados para lançar ataques de ransomware. Por isso, os usuários precisam ser proativos e fazer o que for possível para evitar que esses ataques ocorram. Mantenha-se informado. Fique atento a tudo.

Authors

Dave Piscitello