Ransomware: saiba o que é, como prevenir e remover

Pessoa vestindo casaco e capuz mexe em notebook enquanto códigos aparecem na tela. O ransomware é um sequestro de dados feito por criminosos.

No ano de 2021, 66% das empresas foram atingidas por um ransomware. Vimos vários ciberataques direcionados a organizações de saúde, diante da fragilidade do mundo sob a pandemia da COVID-19. Foi um aumento de 94% só no setor de saúde.

Esses são dados do relatório The State of Ransomware 2022, da Sophos. Chamam atenção para uma ameaça iminente, que se torna mais poderosa e impactante a cada dia. 

Contudo, é importante reiterar que temos várias soluções práticas que funcionam no combate aos ransomwares.

Uma das soluções, inclusive, é se informar sobre o assunto. O conhecimento sobre esse tipo de crime permite antecipar situações e preparar melhor as equipes internas. 

Nesse sentido, a empresa deve saber como se prevenir de um ransomware e como reconhecer um ransomware. 

Saiba mais neste artigo a seguir. 

Leia também:

O que é ransomware?

Vamos começar com a pergunta básica: o que é um ransomware? Trata-se de uma forma de sequestro de dados, em que os criminosos bloqueiam o acesso ao sistema ou criptografam os arquivos de uma máquina e depois solicitam resgate para efetuar o desbloqueio.

É comum que esse resgate seja uma quantia exorbitante em dinheiro ou até em bitcoin, o que caracteriza a extorsão. 

Há até discussões sobre se é adequado usar o termo “sequestro”, pois no caso do ransomware, não há necessariamente uma subtração dos itens pessoais da vítima.

Até porque os dados ficam armazenados na máquina, mas se tornam inacessíveis ao usuário por meio do bloqueio. O usuário não sabe (e não tem como saber) se vai recuperar aqueles dados, mesmo se pagar o resgate.

O desenvolvimento dos ransomwares cresce lado a lado com o avanço na área da criptografia. 

Apesar disso, o ataque ainda usa táticas antigas para invadir uma máquina e se alastrar por outras (como o phishing). Veremos em detalhes como esse ataque funciona no próximo tópico.

Estima-se que o primeiro ransomware tenha sido criado em 1980. Foi chamado de PC Cyborg, ou AIDS. Com uma criptografia simples, os mal-intencionados faziam o bloqueio e solicitavam resgate por uma quantia de 189 dólares.

Em 2007, surgiu o primeiro ataque nos moldes dos atuais, portanto, um mais perigoso. Foi chamado de Win Lock. Em 2012, tivemos também o Reveton. Ambos bloqueavam o acesso e pediam um resgate. 

No caso do Reveton, havia ainda uma fachada envolvendo uma ação do FBI para dar um ar de autoridade ao crime (como se o computador tivesse sido bloqueado pelo departamento americano).

Na história dos ataques, tivemos até mesmo casos de ataque ransomware que não é exatamente de verdade: os scarewares. São aqueles que não bloqueiam de fato os arquivos, mas alegam ter bloqueado. 

Assim, conseguem pedir um resgate sem nem mesmo um esforço tão grande dos criminosos. Ou seja, assustam pela sugestão.

Antes de prosseguir na discussão sobre o ataque ransomware ou sobre como o ransomware ataca, vamos distinguir os principais tipos: o de bloqueio e o de criptografia. 

Ransomware de bloqueio

Afeta funções básicas de um computador, tornando a máquina inacessível e inoperante. Dessa forma, a ideia é estimular a urgência da ação do usuário. 

Um exemplo disso é um ataque que bloqueia a tela e não permite que o usuário acesse nenhuma função do sistema.

Ransomware de criptografia

Utiliza ferramenta robusta, capaz de criptografar os dados, isto é: transformar os dados em uma versão codificada que só quem tem a chave pode decodificar. 

No caso, quem tem a chave é o próprio criminoso e ele alega que só vai desbloquear caso receba o valor negociado.

Como o ransomware age?

Pessoa virada de costas e vestindo um casaco com capuz mexe em notebook. O ransomware ataca os computadores através de um software malicioso.

Essa ameaça envolve uma infecção do computador por parte de um software malicioso. É importante entender em detalhes como um ransomware ataca. 

Pode vir por meio de phishing, que cria uma página falsa para fazer as pessoas clicarem em links estranhos; ou por meio de anúncios criados por mal-intencionados.

Em muitos casos, o software criminoso aproveita uma brecha do sistema operacional e a explora. Há vários casos de ataques ransomwares, como o Wanna Cry (2017), que exploram uma brecha que até já tinha sido trabalhada pela empresa proprietária do SO em alguma atualização.

Porém, no caso do WannaCry, as vítimas não cuidaram de atualizar seus sistemas e sofreram a infecção. 

Há cenários também em que os criminosos utilizam sites infectados para iniciar downloads e instalações automáticas. Desse modo, o programa roda sem que o usuário perceba e oferece acesso aos criminosos para interceptar os dados.

Isso, evidentemente, representa uma enorme ameaça para a empresa. Uma companhia que lida com dados sensíveis e sigilosos de seus clientes, por exemplo, pode perder todos esses dados e sofrer até com sanções de leis como a LGPD (Lei Geral de Proteção de Dados).

Sem contar, claro, a questão da imagem negativa e da repercussão de sofrer e protagonizar um ataque massivo como esse. 

Um ransomware é um ataque vergonhoso, pois chama atenção para a incapacidade da empresa de se proteger com ações simples (como a atualização de seus softwares).

Quando falamos especificamente sobre como essa ameaça atua no bloqueio dos dados, é importante diferenciar os casos. 

Há infecções que criptografam o HD diretamente, ou seja, atacam a fonte de armazenamento dos dados; há alguns que focam em bloquear o acesso à tela; há aqueles que criptografam as pastas; e há os que alteram códigos de bloqueio de celulares, por exemplo.

Como detectar um ransomware?

Quando uma máquina está infectada com ransomware, é relativamente comum e fácil perceber isso. Afinal, há um aviso geralmente que alerta para a infecção e para a necessidade de uma ação urgente. 

É como uma notificação informando o motivo do ataque e as condições de negociação, como em um sequestro. 

Contudo, é importante saber como reconhecer um ransomware em outros estágios da infecção, antes de chegar aos finalmentes. Vamos analisar essa questão nesta seção do nosso conteúdo. 

Atente-se aos alarmes do antivírus

Um dos pontos é prestar atenção aos alarmes do antivírus. O software de proteção tem a função principal de criar algum tipo de chamada sempre que detecta um problema em seu monitoramento, ou seja, um risco de vírus ou ataque. 

Então, o ideal é sempre estar atento para agir conforme a recomendação do app. Quando algum download malicioso começar, é importante seguir o antivírus e excluir aquele arquivo, por exemplo.

Analise o nome dos arquivos

Outra dica importante é observar o nome dos arquivos e das pastas. Como falamos anteriormente, há o tipo de ransomware que bloqueia o acesso ao sistema como um todo e há outro tipo que apenas foca em criptografar os arquivos.

Nesse último caso, um dos sinais é ver seus arquivos inacessíveis, com uma extensão estranha e diferente. Assim, não será possível abrir esses arquivos com um software comum. 

Tráfego de rede suspeito

Outra forma de identificar é analisar o tráfego de rede e observar se há algo suspeito nas comunicações ou algum sinal de invasão externa.

Atividade CPU

Outro ponto a ser analisado é o aumento repentino e estranho da atividade da CPU ou do disco rígido. Isso indica que há processos sendo executados sem que o usuário de fato tenha solicitado. 

O software pode estar trabalhando nos bastidores para comprometer o acesso e bloquear os arquivos.

É possível prevenir um ataque de ransomware?

Homem utiliza o computador numa mesa de escritório. Ter um backup em nuvem é uma das formas de prevenção contra os ataques de ransomware.

Diante das pesquisas que mostramos e do que já comentamos sobre o ransomware, pode parecer que essa é uma ameaça invencível ou muito difícil de combater. 

Contudo, a verdade aponta para outra direção: há estratégias simples e efetivas que ajudam a garantir proteção ampla e efetiva contra ransomwares.

Com algumas ações e uma cultura de proteção, a empresa consegue se colocar em um estado de segurança e de defesa. 

Veremos a seguir quais são essas ações e você vai entender como se prevenir de um ransomware. 

Instale um bom antivírus

Um dos primeiros passos é ter um bom software antivírus instalado nas máquinas da empresa. 

Esse software será o responsável pelo monitoramento das atividades nos computadores, filtrando possíveis ameaças e riscos já na raiz.

Além disso, com ele é possível executar varreduras para buscar vírus e malwares que levam a uma situação de criptografia de dados. 

A grande vantagem do antivírus é a capacidade de atuar diretamente contra a ameaça, excluindo ou colocando os vírus em quarentena. 

Tenha um sistema de backup externo ou em nuvem

A melhor solução contra ransomwares, sem dúvidas, é o backup. Trata-se de uma maneira de manter os arquivos protegidos contra a criptografia, de modo que a empresa garanta o controle de acesso a eles.

As cópias de segurança consistem basicamente em levar os arquivos para um local seguro, para que seja possível recuperar o acesso a eles posteriormente se algum problema ocorrer. 

Assim, se o sequestro de dados comprometer seus arquivos ou o acesso a eles, a empresa simplesmente recupera o backup em outra máquina, por exemplo, e continua com seus processos. 

Não clique em links desconhecidos

Como vimos, uma das formas de permitir a entrada de um agente comprometedor dos seus arquivos é clicando em links não confiáveis e suspeitos. 

Com as ações de um phishing, por exemplo, usuários ficam vulneráveis a esse tipo de risco e podem oferecer a porta de entrada e a chave para os criminosos.

O ideal é, então, sempre desconfiar de links. É importante checar se o link que aparece na mensagem de um e-mail, por exemplo, é o mesmo que aparece em uma barra no canto inferior esquerdo (ao posicionar o mouse sobre o link, você consegue verificar para onde ele vai, de fato).

Nesse sentido, a proteção deve fazer parte da cultura da empresa e abranger a todos. Os funcionários precisam estar treinados para também não caírem nesse tipo de armadilha. 

Verifique a URL ao acessar um site

Isso está associado com a dica anterior. É crucial checar a URL de todo site antes de entrar nele, principalmente quando estiver acessando as páginas de resultados do Google, por exemplo. 

É comum que sites maliciosos apareçam nas páginas de busca com uma chamada para atrair o clique. Sempre verifique a URL e busque sinais de segurança, como o certificado SSL.

Ao clicar em um site malicioso, pode acontecer uma situação em que o usuário recebe downloads suspeitos na máquina ou até mesmo seja infectado com anúncios. Então, a partir disso, o sistema invasor bloqueia os dados ou toma posse do acesso ao SO.

Bloqueador de anúncios

Pode ser interessante adotar uma solução de bloqueio de anúncios, uma vez que isso diminui a exposição em casos de malvertising. 

Assim, os riscos caem e os usuários da empresa podem acessar os sites sem comprometer os arquivos pessoais ou dar brechas. 

Atualização

Se o backup é a solução mais importante contra o ransomware, essa é a segunda mais relevante. A atualização de sistemas permite que usuários tenham acesso à versão mais nova, mais robusta e segura das aplicações, o que garante cuidado contra brechas.

Essas vulnerabilidades de segurança seriam justamente as fontes de exploração dos atacantes e criminosos. Por isso, ao tapar esses espaços, a companhia consegue se manter protegida e diminuir as chances dos sequestradores de dados.

Como eliminar um ransomware?

Vamos adiante. Já mostramos como se prevenir de um ransomware. Nesta seção, vamos falar sobre como eliminar um.

Uma das formas é utilizar um software anti-ransomware, uma ferramenta específica que ajuda no combate a esse tipo de ameaça. São soluções mais robustas que permitem identificar o problema e trabalham para recuperar o acesso aos arquivos.

Como já comentamos, o antivírus se destaca como uma forma de impedir a ação dos sequestradores de dados também. 

Pode ser usado para eliminar um malware que deu abertura ao ransomware e finalmente retomar a normalidade das operações.

Outra forma é a partir da recuperação do sistema. Esse é um mecanismo que possibilita ao usuário voltar no tempo, para uma versão segura do sistema. 

Em muitos casos, quando o colaborador de uma empresa se depara com uma situação de bloqueio de acesso, ele pode buscar um ponto seguro e fazer a restauração para reverter as ações do ransomware.

Quando a reversão é feita, a empresa pode então ter acesso aos arquivos. Contudo, há casos, os piores, em que a reversão da criptografia simplesmente não pode ser feita. Nessa situação, o ideal é recorrer aos backups.

Perguntas frequentes sobre ransomware

Mão de uma pessoa vestindo casaco preto clica no teclado de um notebook enquanto códigos aparecem na tela. Saber como o ransomware age e como se proteger é fundamental para não ter dados violados.

Como o ransomware se propaga?

Um ransomware assume controle dos arquivos ou do sistema por meio de algum malware que explora brechas. 

O que um ransomware pode fazer?

Criptografar arquivos importantes ou bloquear o acesso à tela completamente, tornando o computador inoperável. 

Ransomware é um vírus?

Não é um vírus, pois não tem a capacidade de se replicar. Usa sistemas de controle de criminosos para bloquear acesso e controlar quem pode acessar alguma informação. 

Conclusão

Como vimos, o ransomware é uma ameaça que as empresas devem conhecer e se preparar para combater. 

É crucial saber como fazer isso ao estimular boas práticas na empresa toda, utilizar os softwares certos e garantir a proteção com atualização de sistemas e backups

Avalie este post