Tudo o que você precisa saber sobre Ransomware
Ransomware maior praga virtual da atualidade, por isso resolvi estudar de forma mais profunda sobre esse tema, explicando tudo o que você precisa saber sobre Ransomware.
Busquei materiais em dezenas de sites, apostilas, cartilhas e vídeos, todo material produzido por empressas com credibilidade relacionados com tecnologia da informação e segurança da informação. Baseado em tudo que tenho estudado, realizei algumas anotações, compilei outros artigos, busquei testes realizados por empresas relacionadas a antivírus e afins. Munido de todo esse material, venho compartilhar com você esse novo artigo.
Ransomware (também conhecido como rogueware ou scareware) é um tipo de malware que impede ou limita os usuários acessem seu sistema ou arquivos. Este tipo de malware obriga suas vítimas a pagar um resgate através de certos métodos de pagamento online, a fim de permitir o acesso aos seus sistemas ou para obter seus dados de volta. Os ataques de ransomware mais perigosos são causados pelos ransomwares WannaCry, Petya, Cerber, Cryptolocker e Locky. A Microsoft já lançou patches, incluindo também patches para sistemas operacionais para ajudar a corrigir problemas relacionados ao WannaCry.
Funcionários de TI do Brasil inteiro estão lidando com essa ameaça perigosa. Um novo vírus utilizando uma criptografia pesada em arquivos importantes para forçar usuários e empresas a pagarem um resgate terem sesus dados liberados novamente. Os preços variam em cada resgate, variando de US$ 24 a US$ 600 dólares ou no mesmo valor equivalente em algumnas moedas virtuais, chamadas de Bitcoin. É importante notar que pagar pelo resgate não garante que os usuários podem, eventualmente, acessar o sistema infectado.
A técnica chamada de Ransomware (Ransom significa "resgate" em inglês), justamente pela estratégia de sequestrar dados e pedir liberação apenas mediante pagamento de resgate.
Existem dois tipos de ransomware:
- Ransomware Locker: impede que você acesse o equipamento infectado.
- Ransomware Crypto: impede que você acesse aos dados armazenados no equipamento infectado, geralmente usando criptografia.
Além de infectar o equipamento o ransomware também costuma buscar outros dispositivos conectados, locais ou em rede, e criptografá-los também.
Infelizmente, esse malware se propaga em alta velocidade e também evolui com rapidez. De acordo com a Europol, no curto período de tempo desde que a ameaça foi descoberta, a epidemia já atingiu mais 150 países.
O tópico relacionado ao assunto no fórum oficial da Microsoft está repleto de relatos de profissionais que precisam lidar com este problema em servidores, computadores e smartphones. O vírus se manifesta de maneira semelhante em todos os casos, comprimindo arquivos no formato .RAR criptografado.
O criminoso oferece um e-mail de contato, com o qual é possível contatá-lo para um "orçamento" e também uma amostra de que ele é capaz de quebrar a criptografia. Ele permite o envio de um arquivo pouco importante e leve para provar que ele detém a chave.
Alguns técnicos tem tentado utilizar o método de força bruta para tentar quebrar a senha, mas não tem obtido sucesso, devido à sua complexidade.
Segundo o relato dos técnicos do fórum, a ameaça utiliza o protocolo Remote Desktop Protocol (ou somente RDP) para se infiltrar na máquina e precisa de privilégios de administrador para realizar os seus procedimentos.
Os computadores e smartphone podem contrair essa ameaça através de uma variedade de meios. O Ransomware pode ser baixado inconscientemente por usuários ao visitar sites maliciosos, também realizando download de arquivos recebidos ou clicando em links desconhecidos recebidos por e-mail ou algum aplicativo de mensagem, como, Whatsapp, Messenger ou Telegram. Essas são as formas mais comuns de ser infectado atualmente.
Uma vez inserido em um sistema, o ransomware pode bloquear o ecrã do computador ou criptografar arquivos predeterminados com uma palavra-passe. No primeiro cenário, um ransomware mostra uma imagem em tela cheia ou notificação, o que impede as vítimas de utilizar o seu sistema. Isto mostra também as instruções sobre como os usuários podem pagar o resgate. O segundo tipo de bloqueio de ransomware por arquivos, tais como documentos, planilhas, imagens e outros arquivos importantes.
Ransomware é considerado um "scareware", uma vez que obriga os usuários a pagar uma taxa ou resgate por assustar ou intimidar. Neste sentido, é semelhante ao malware FAKEAV, embora usando uma tática diferente. Em vez de capturar o sistema infectado ou criptografar arquivos, FAKEAV persuade os usuários a comprar o seu software antimalware falso, mostrando falsos antimalware resultados de digitalização.
Tudo o que você precisa saber sobre Ransomware
Antes que houvesse Ransomware
É fácil pensar que no Ransomware como um problema moderno, mas o conceito remonta a quase 30 anos atrás. O primeiro caso documentado de Ransomware ficou conhecido como PC Cyborg ou AIDS, de 1989. A ameaça se espalhou criptografando arquivos nos computadores, em seguida, pedindo que os usuários paguem para decifrar os códigos. Claro, o AIDS não era apresentado como Ransomware, mas usou o mesmo truque que vemos hoje, punindo supostamente alguém por usar software sem licença.
Enquanto o AIDS pode ser o primeiro Ransomware, que era na verdade um aplicativo enganoso que realmente deu início à tendência de extorsão digital que vemos hoje. Como ransomware, aplicações enganosas e fraudes em antivírus falsos foram projetados para gerar receita de forma fraudulenta por parte dos utilizadores.
Com poucas variantes aparecendo nos 10 anos seguintes, uma verdadeira ameaça de ransomware não entraria em cena até 2004, quando o GpCode usou criptografia RSA fraca para conter arquivos pessoais em troca de resgate. Outros Ransomware foram detectados entre os anos de 2005 e 2006, na Rússia.
A Tren Micro, empresa focada em segurança da informação relatou um incidente ela primeira vez em 2006, em que uma variante de Ransomware (detectado como TROJ_CRYZIP.A) fechou certos tipos de arquivos e substitui estes, deixando apenas os arquivos zip protegidos por senha no sistema do usuário. Ele também criou um bloco de notas, que se apresenta como o bilhete de resgate para informar aos usuários que eles podem recuperar seus arquivos em troca de US$ 300 dólares.
Durante sua fase inicial, os Ransomware eram tipicamente arquivos que criptografam particulares tipos de arquivo (.doc, .XL, .dll, .exe, somente para citar alguns).
Em 2007, o WinLock inaugurou o surgimento de um novo tipo de ransomware, que em vez de criptografar arquivos, bloqueou as pessoas de usarem seus computadores. O WinLock assumia a tela da vítima e exibia imagens pornográficas. Então, exigia o pagamento através de um SMS pago para removê-los.
Tempos depois, foi descoberto um ransomware que infecta o Master Boot Record (MBR), em português Registro Mestre de Inicialização de sistemas vulneráveis. Como alvo a MBR, o problema impede que o sistema operacional seja carregado e inicializado. Para fazer isso, os exemplares de malware da MBR originais eram substituidos por outro com um código malicioso. Depois de fazer esta rotina, ele reinicia automaticamente o sistema para que a infecção tenha efeito. Quando o sistema era reiniciado, o ransomware exibe sua notificação (em russo).
Ransomware maior praga virtual da atualidade pula para fora da Rússia
Infecção ransomware foi inicialmente limitada a Rússia, mas sua popularidade e modelo de negócio rentável logo encontrou seu caminho em outros países por toda a Europa. Em março de 2012, foram notados a propagação contínua da infecção de ransomware em toda a Europa, nos Estados Unidos e no Canadá. Semelhante a TROJ_RANSOM.BOV, esta enorme quantidade de ransomware exibe uma página de notificação da agência de polícia local da vítima em vez da nota de resgate típico.
Foi descoberto uma tática diferente para espalhar variantes de ransomware. O site de uma empresa de confeitaria muito conhecido com sede em França, foi um alvo aparentemente improvável para o crime virtual. O site da Ladurée foi comprometido, de modo a infectar sistemas dos usuários com ransomware.
O ransomware, detectado como TROJ_RANSOM.BOV finge ser notificações da Gendarmerie Nacional (francês: nationale Gendarmerie), populkarmente conhecida como a polícia francesa. Ele exibe uma janela que cobre toda a área de trabalho e exige o pagamento, ou seja, mantendo o sistema de pedido de resgate para retomar o sistema.
Além de infectar utilizadores franceses que visitaram o site da Ladurée, também houve várias infecções observadas no Japão. Como se constata, doces Ladurée são populares entre os japoneses, na verdade, o site da Ladurée só é traduzido automaticamente para francês, inglês e japonês.
Usar o site de uma confeitaria mostra a capacidade dos criminosos virtuais para adaptar-se e ir para onde eles pensam que vão encontrar potenciais vítimas. Neste caso, o ataque faz uso do Blackhole Exploit kit, a fim de soltar malware em sistemas. É a mesma família de malware que tem sido utilizado no passado para representar outras agências da lei, tais como o Bundespolizei na Alemanha. Além da componente ransomware do malware, ele também rouba credenciais para uma longa lista de programas e sites, incluindo contas de e-mail, senhas do navegador, redes sociais, sites de poker, senhas FTP e Remote Desktop (RDP), ou seja, Área de Conexão Remota do Windows.
Percebemos que o nome de domínio da URL usado para hospedar o Blackhole Exploir kit foi suspensa. Com base nos registros, que foi criado em 9 de fevereiro de 2012 e atualizado em 14 de fevereiro, o domínio mostra uma .ru endereço de e-mail que pode ajudar na identificação de um possível suspeito, mas isso pode ser apenas uma conta de e-mail comprometida para que as informações pode não ser confiável, por exemplo, a informação WHOIS afirma que o proprietário do domínio é baseado em Moscou, mas a conta de e-mail vinculado ao domínio, diz que o proprietário é baseado em uma cidade cerca de 4 horas de Moscou.
Observamos também que domínios relacionados a esta campanha estão todos hospedados em um conjunto comum de endereços IP. Os sites relacionados são da mesma gangue, mas não é usado neste ataque em particular. Essa quadrilha também já interpretou notificações policiais da Itália, Espanha, Alemanha, Bélgica, entre outros. Cada um destes domínios usam diferentes endereços de e-mail para o registo, a maioria termina em .ru.
Ransomware como um modelo de negócio rentável, ao fazer ameaças mais eficaz e mais difíceis de identificar, os criminosos digitais tem uma chance maior de obter lucros mais substanciais. Estes ataques com ransomware, no entanto, mostram que por vezes até mesmo as mais simples e diretas ameaças ainda funcionam.
O resgate exigido pode ser relativamente de valor pequeno a ser pago para pessoas que valorizam seus dados, no entanto, quando esse montante é multiplicado por milhares de pessoas ou empressas, junta-se muito dinheiro, que pode ser usado para financiar empreendimentos mais complexos e possivelmente mais destrutivos.
The Rise of Reveton ou Polícia Ransomware
Reveton (também conhecida como Police Ransomware ou Police Trojan) é um tipo de ransomware que personifica agência de aplicação da lei. Estes malwares tipicamente mostra uma página de notificação supostamente enviada pela agência de polícia local da vítima, informando que eles foram pegos fazendo uma atividade ilegal ou maliciosa online.
Para saber qual agência de aplicação local é aplicável aos usuários, Reveton variantes rastrear a localização geográfica de suas vítimas, assim, os usuários afetados que vivem nos EUA receber uma notificação do FBI, enquanto aqueles localizados em França são notificados com um aviso da Gendarmerie Nationale.
Reveton também teve variantes que empregam um método de pagamento diferente em comparação com os ataques de ransomware iniciais. Uma vez que um sistema está infectado com variantes Reveton, os usuários são solicitados a pagar através de UKash, PaySafeCard ou MoneyPak. Esses métodos de pagamento perpetuam o anonimato, já que ambos UKash e PaySafeCard são métodos internacionais de pagamento em dinheiro para quem deseja comprar, pagar e jogar online pela Internet.
Em 2012, diferentes tipos de Reveton foram alterados exibindo novas técnicas. Durante a última parte do mesmo ano, foi informado sobre as variantes que desempenham uma gravação de áudio usando o idioma nativo da vítima e outro usando um certificado digital falso.
A evolução para CryptoLocker
No final de 2013, um novo tipo de ransomware surgiu. Nesse as variantes do ransomware agora criptografa os arquivos, além de bloquear o sistema. Isso é para garantir que os usuários ainda pagará até mesmo se o próprio malware foi eliminado. Este novo tipo de ransomware foi apelidado como "CryptoLocker" devido seu novo comportamento.
Como os tipos anteriores de ransomware, este também exige o pagamento pelos usuários afetados pelo malware, só que dessa vez para desbloquear seus arquivos agora criptografados. Embora a nota de resgate em CryptoLocker especifica somente "RSA-2048", como a criptografia usada, nossa análise mostra que o malware utiliza AES + RSA criptografado.
RSA é criptografia de chave assimétrica, o que significa que ele usa duas chaves. Uma chave é usada para criptografar os dados e outra é usada para descriptografar os dados. A chave pública é disponibilizada e tornada acessível a qualquer indivíduo que deseje se comunicar com o proprietário da chave privada correspondente, permitindo garantir tanto a confidencialidade, quanto a autenticidade das informações por eles protegidas.
AES utiliza chaves simétrica, ou seja, a mesma chave é usada para criptografar e descriptografar informações. O malware usa uma chave AES para criptografar arquivos. A chave AES para a descodificação está escrito nos arquivos criptografados pelo malware. No entanto, esta chave é criptografada com uma chave RSA pública embutida no malware, o que significa que uma chave privada é necessária para decifrá-la. Infelizmente, a referida chave privada não está disponível.
Outras investigações revelaram que uma campanha de spam estava por trás das infecções CryptoLocker. As mensagens de spam contêm anexos maliciosos pertencentes a TROJ_UPATRE, uma família de malware caracterizado pela seu pequeno tamanho do arquivo e uma função de descarga simples. Ele baixa uma variante ZBOT/ZeuS, que então transfere o malware CryptoLocker. Foram buscadas informações ligando CryptoLocker ao e-mail contendo uma amostra malicioso anexada, identificado como TROJ_UPATRE.VNA.
Uma vez que este anexo é executado, ele baixa um outro arquivo que é salvo como cjkienn.exe (detectado como TSPY_ZBOT.VNA). Este malware em seguida, transfere o malware CryptoLocker real (detectado como TROJ_CRILOCK.NS).
Esta ameaça é particularmente problemático por várias razões. Em primeiro lugar, as variantes ZeuS/Zbot são conhecidos para roubar informações relacionadas a credenciais bancárias online. Os atacantes podem usar as informações roubadas para iniciar operações bancárias não autorizadas. Além disso, por causa do malware CryptoLocker, os usuários não serão capazes de acessar seus documentos pessoais ou importantes.
No final de 2013, uma nova variante do CryptoLocker surge, nela surgiram rotina de propagação. Esta variante, WORM_CRILOCK.Apode se espalhar através de unidades removíveis, uma inédita rotina em outras variantes. Isto significa que o software malicioso pode ser facilmente espalhado em comparação com outras variantes. Esta nova variante não depende de malwares downloader como CRILOCK para infectar sistemas, ao contrário, ela finge ser um ativador de software em redes ponto a ponto de compartilhamento de arquivos (sites de P2P).
Outra ransomware criptografado logo entrou em cena. Este malware, conhecido como CryptoDefense ou CryptOrbit, como outros ransonware criptografados, ele exige o pagamento por seus serviços de descriptografia. Denominado como TROJ_CRYPTRBIT.H,, esta variante criptografa banco de dados, vídeos, imagens, scripts, textos, planilhas e outros arquivos, ele também elimina arquivos de backup para impedir a restauração.
A utilização de criptomoedas para pagar o resgate
O Ransomware logo começou a incorporar mais um elemento: criptomoeda (por exemplo, Bitcoin). Esse chegou em duas novas variantes, o chamado BitCrypt,. A primeira variante, TROJ_CRIBIT.A, acrescenta ".bitcrypt" para quaisquer arquivos criptografados e usa uma nota de resgate. A segunda variante, TROJ_CRIBIT.B. acrescenta ".bitcrypt2" e usa uma nota de resgate multilinguagem, com 10 línguas incluídas. Variantes CRIBIT usar algoritmos de criptografia RSA(426)-AES e RSA(1024)-AES para criptografar os arquivos. Este malware também exige que o pagamento para desbloquear arquivos venha na forma de Bitcoins.
Foi descoberta uma variante de malwares informações FAREIT, TSPY_FAREIT.BB, downloads de TROJ_CRIBIT.B. Esta variante FAREIT pode roubar informações de várias carteiras de criptomoedas, incluindo wallet.dat (Bitcoin), electrum.dat (Electrum), e .wallet (Multibit). Esses arquivos contém informações importantes, tais como registros de transações, preferências de usuário e contas.
POSHCODER: PowerShell
Uma nova variante do ransomware e Cryptolocker ameaças aproveitar o recurso Windows PowerShell para criptografar arquivos. Ele foi identificado ele como TROJ_POSHCODER.A. O Windows PowerShell é um recurso nativo no Windows 7, 8, 8.1 e 10 ou Windows Server. Os criminosos digitais frequentemente abusam desse recurso para fazer ameaças não detectadas no sistema ou na rede.
POSHCODER usa AES em criptografia dos arquivos e RSA chave pública de 4096 bits para criptografar a chave AES. Uma vez que todos os arquivos do sistema infectado são criptografadas, ele exibe a seguinte imagem:
Tudo o que você precisa saber sobre Ransomware
Enquanto cripto-ransomware se tornaram populares entre os criminosos digitais, isso não significa que outros tipos de ransomware desapareceram do mundo, recentemente, foi encontrado um ransomware que bloqueia a tela do computador infectado.
O que torna este ransomware especial e diferente de outros é que o seu vetor de infecção é remendado de malware, ou seja, malware remendado é qualquer arquivo legítimo que tenha sido modificada via adição ou injeção de códigos maliciosos. Modificar um arquivo legítimo pode ser vantajoso para os criminosos digitais, pois ele vai depender da taxa de execução dos códigos maliciosos, variando de acordo com a frequência de uso do arquivo infectado.
Outra distinção para este ransomware é que ele infecta user32.dll, um arquivo crítico conhecido. Infectar um arquivo crítico pode ser considerada uma excelente técnica, pois ele pode ajudar a evitar a detecção por ferramentas de monitoramento. Além disso, limpeza de arquivos críticos infectados, tais como user32.dl, requer um cuidado extra, pois com um passo em falso você pode fazer um sistema parar de funcionar, o que poderia ser visto como um possível obstáculo para ferramentas de limpeza.
Com o arquivo user32.dll infectado, começa uma cadeia de rotinas que termina com o ransomware sendo carregado. Incluído nas rotinas do ransomware, ele irá bloquear a tela do computador e projetar com uma imagem de resgate, semelhante às mensagens de ransomware anteriores.
Em 2013, com as novas previsões sobre segurança da informação, foi previsto que as ameaças convencionais como ransomware são suscetíveis a evoluir gradualmente, como os criminosos vão se concentrar principalmente em refinar as ferramentas existentes. Isto é, em parte, impulsionada pela corrida armamentista em curso entre certos grupos de criminosos virtuais e pesquisadores de segurança da informação. Por causa dos desenvolvimentos positivos na captura destes grupos, como a prisão do grupo FakeAV, podemos esperar variantes de ransomware que contenham novas funções e outras melhorias em termos de mecanismo de descrição. Critroni ou Curve-Tor-Bitcoin (CTB) Locker surgiu em 2014, este tipo de ransomware utiliza a rede Tor para mascarar suas comunicações C & C.
Algumas variantes deste ransomware pede bitcoins como resgate. CTB Locker variantes que em 2015 introduziu "freemium", serviço de decodificação livre. Também em 2015, os ataques de ransomware TorrentLocker foram predominantes na região da Austrália e Nova Zelândia. Este ransomware especial adiciona código CAPTCHA e redireciona para um site falso.
Assista ao vídeo "TorrentLocker em Ação" abaixo:
Adaptar-se ou pereça?
HG Wells disse uma vez: "Adaptar-se ou pereça, agora como sempre, é imperativo inexorável da natureza." Embora Wells estava falando sobre o futuro da espécie humana, quando ele disse isso, a citação também pode ser aplicado a malware. Há uma batalha constante e em grande parte invisível travada entre os autores de malware e fornecedores de segurança. Os atacantes querem comprometer seu dispositivos, enquanto os profissionais de segurança querem parar os autores de malware. Se os autores do malware acabam de criar e lançar um novo sistema malicioso para a vida selvagem, em seguida, os fornecedores de segurança irão localiza-lo, analisa-lo e tornar o malware inúteis a todos, neutralizando essa ameaça. Os atacantes sabem disso e entendem que eles devem "adaptar-se ou perecer."
Ransomware em dispositivos com iOS
Personagens que não podem ser deixados de fora do jogo do ransomware, os autores de malware do Mac liberaram o primeiro ransomware para Mac OS em 2016. Chamado de KeRanger, o ransomware infectou um aplicativo chamado Transmission que, quando lançado, copiava arquivos maliciosos que permaneciam sendo executados em silêncio em segundo plano por três dias até vir a tona e criptografar os arquivos. Felizmente, o programa embutido anti-malware da Apple, XProtect, lançou uma atualização logo após o descobrimento do ransomware que o impediria de infectar os sistemas dos usuários.
Mesmo depois de ler esse artigo, você ainda acredita que somente computadores podem contrair o Ransomware a maior praga virtual da atualidade, saiba também que a Symantec, outra gigante da tecnologia, focada em segurança da informação também já detectou a anos atrás a infecção de dispositivos com sistema Android.
Ransomware em dispositivos com Android
Os dispositivos móveis se tornaram um alvo preferencial para ransomware e os atacantes usam vários truques e táticas para tentar e permanecer sem ser detectada pelas ferramentas de análise e sistemas de assinatura utilizados por fornecedores de segurança.
Ransomware Android já percorreu um longo caminho desde que surgiu pela primeira vez em 2013 com a descoberta do malware de bloqueio de dispositivo, o Android.Fakedefender. Menos de um ano mais tarde, o primeiro ransomware Android-Encrypting File apareceu, o Android.Simplocker, deixando claro que ransomware móvel fica cada vez mais avançado. Essa tendência continuou até hoje, como os autores de malware percebem o grande número de vítimas em potencial lá fora, podemos ter certeza que essa ameaça continuará a evoluir.
As famílias de malware Android.Lockdroid e Android.Simplocker pode ser usado para demonstrar como autores ransomware aplicam continuamente métodos diferentes para se certificar que suas criações evoluiram.
Observamos que a evolução e as novas tendências tecnológicas crescente a cada dia e invadiram nossas casas, nossos bolsos e bolsas. A evoução é tamanha que o nossa forma de transporte também foi alterada, com o advento dos carros inteligentes.
Uma nova tecnologia que já é realidade em nosso dia a dia são os SmartWatch, mais conhecidos como relógios inteligentes. Tanto o Google como a Apple tem dado a este setor um impulso significativo. Isso está criando um novo mercado para aplicativos SmartWatch que os desenvolvedores já estão atendendo.
Esse tipo de dispositivo são projetados para ser emparelhado com um dispositivo mais ricos em função, como um telefone ou tablet tanto para dispositivos com sistemas Android ou iOS. O sistema operacional permite que os aplicativos do smartphone compartilhe com o relógio determinados recursos do smartphone ou até mesmo alguns SmartWatch que funcionam de forma independete, com um smartphone no seu pulso.
Tendo em conta que já existem ameaças de ransomware em circulação para dispositivos móveis Android, decidimos testar como um dispositivo Android Wear pode ser afetado por ransomware típico Android. A Symantec decidiu fazer teste em dispositivos móveis, onde simplesmente tiveram que remontar um arquivo atual Android ransomware .apk (Android.Simplocker) dentro de um novo projeto Android Wear para criar um novo arquivo .apk.
Em seguida, fizeram uma smartwatch Moto 360 e emparelhado com um telefone Android. Quando instalamos o novo arquivo .apk no telefone, descobrimos que o telefone tornou-se infectado com o ransomware como esperado. Como o smartwatch foi emparelhado com o telefone, o ransomware também foi empurrado para o SmartWatch. Uma vez instalado no smartwatch, o malware poderia ser executado pelo usuário, se eles foram aliciadas para executá-lo, pensando que era um aplicativo útil.
Após o ransomware foi executado, ele afetou o smartwatch para tornar-se geralmente inutilizável. Simplocker tem uma rotina que verifica a exibição da mensagem resgatadas a cada segundo, e se não for mostrado, ele vai empurrá-lo para a tela novamente. Esta atividade nos impediu de usar o dispositivo. Simplocker também criptografada uma gama de diferentes arquivos armazenados no cartão SD do smartwatch.
Até agora, não vimos qualquer ransomware em estado selvagem especificamente projetado para atacar smartwatches, mas esta situação poderia facilmente mudar. Este cenário poderia dar origem ao termo "ransomware ransomwear".
Recuperação
Uma vez que o Simplocker está em execução no smartwatch, só é possível desinstalá-lo a partir do telefone emparelhado. Se você puder fazer isso, então o Simplocker será automaticamente removido do smartwatch. Se isso não for possível, você pode redefinir o telefone para as configurações de fábrica, em seguida, fazer o mesmo no smartwatch. A opção de reset de fábrica só está acessível através do menu relógio, mas isso não é acessível enquanto Simplocker está em execução.
Durante os testes, foi descoberto que mantendo pressionado o botão de hardware no relógio por 30 segundos, o aparelho será desligado. Quando o dispositivo é reiniciado, há uma janela de tempo de cerca de 20 a 30 segundos antes Simplocker reinicia novamente. Este é apenas o tempo suficiente para iniciar o processo de redefinição de fábrica que irá limpar o smartwatch limpo. A desvantagem é que todos os arquivos do relógio será perdido, embora esses arquivos tenham sido criptografados pela ameaça antes disso.
Para reduzir o risco de infecções de malware em dispositivos portáteis, os usuários devem tomar algumas precauções básicas:
- Evite instalar aplicativos de fontes desconhecidas / não confiáveis;
- Verifique as permissões ao instalar aplicativos para se certificar de que eles são apropriados para o tipo de aplicativo que está sendo instalado. Por exemplo, se um jogo realmente precisa para ser capaz de acessar sua lista de contatos ou enviar um SMS?
- Use uma solução de segurança adequado em seu dispositivo móvel;
- Mantenha o seu software atualizado;
- Faça backups frequentes dos dados importantes.
Quem são os alvos dos criadores de ransomware?
Quando o ransomware foi introduzido (e depois reintroduzido), suas vítimas iniciais foram sistemas individuais (também conhecidos como pessoas comuns). No entanto, os criminosos cibernéticos começaram a perceber todo o seu potencial quando lançaram ransomwares para empresas. O Ransomware foi tão bem sucedido contra as empresas, interrompendo a produtividade e resultando em dados e receita perdidos, que seus autores voltaram a maioria de seus ataques contra eles. No final de 2016, 12,3 por cento das detecções globais em empresas eram ransomware, enquanto apenas 1,8 por cento das detecções em consumidores em todo o mundo eram ransomware. E até 2017, 35% das pequenas e médias empresas passaram por um ataque de ransomware.
Geograficamente, os ataques de ransomware ainda estão focados nos mercados ocidentais, com o Reino Unido, EUA e Canadá posicionados como os três principais países alvo, respectivamente. Tal como acontece com os outros invasores, os autores de ransomware seguirão o dinheiro, então eles buscam por áreas que tenham ampla adoção de computadores e uma certa riqueza. À medida que os mercados emergentes na Ásia e América do Sul aceleram seu crescimento econômico, espera-se também um aumento na quantidade de ransomware (e outras formas de malware).
Como se previnir do Ransomware?
Como acontece com outros ataques, você pode trabalhar para evitar o ransomware. Especialistas aconselham tomar essas medidas para evitar ataques ou proteger-se depois de um ataque:
- Usar um software antivírus e um firewall respeitável: A manutenção de um firewall forte e manter seu software de segurança atualizado é crítico. É importante o uso de software antivírus de uma empresa respeitável, por causa de todo o software falso lá fora.
- Sistema operacional e softwares atualizados: Certifique-se de que todos os softwares em seu computador estão atualizados, incluíndo o seu sistema operacional, navegador e qualquer plug-in de barra de ferramenta que você utilize ou tenha instalado.
- Realizar backups: Se você realiza backup de arquivos para qualquer um disco rígido externo ou algum serviço de backup online, você diminuir a ameaça. Se você faz backup de suas informações, você não deve ter medo de simplesmente desligar o computador e começar de novo com uma nova instalação se você estiver sob ataque. Fazer os backups também são uma parte essencial de um plano de continuidade de negócios e recuperação de desastres, que todas as pessoas e empresas deveriam ter. No mínimo, recomendo aos usuários, pelo menos, fazer cópias de segurança dos arquivos que são importantes para eles e fazê-lo regularmente, de preferência em mais de um local, mantendo ao menos duas cópias de segurança. Fica apenas o alerta, fazer backups é primordial, porém realizar testes de verificação da integridade desses arquivos e restauração constante dos mesmo é fundamental, assim quando for necessário recupera-los, estarão disponíveis e íntegros.
- Ative seu bloqueador de pop-up: Pop-ups são uma tática principal usado pelos bandidos, tão simplesmente evitar até mesmo acidentalmente clicar em um pop-up. Se um pop-up aparecer, feche o quanto antes. Os botões dentro de um pop-up pode ter sido reprogramado pelos criminosos, por isso não clicar sobre eles.
- Tenha cuidado: Não clique em links dentro de e-mails, e evite sites suspeitos. Mas esteja ciente de que os bandidos são desonestos o suficiente para criar sites falsos, talvez divulgando seu próprio software antivírus falso ou seu programa de criptografia.
- Desconectar-se da Internet: Se você receber uma nota de ransomware, se desconectar da Internet para que seus dados pessoais não sejam transmitidos de volta para os criminosos. Ele recomenda simplesmente desligar o computador. Se você fez o backup de seus dados, você pode reinstalar o software. Se você não se sentir confortável fazendo isso ou você é incapaz de começar de novo, você terá que levar o computador para uma loja de confiança para repará-lo.
- Alerta autoridades: Ransomware é uma forma grave de extorsão. As polícias locais, dependendo de onde você esteja, provavelmente, não estão equipados para lidar com isso, porém a Polícia Federal com certeza tem conhecimento, material humano e equipamentos para investigar esses casos.
O que fazer se for infectado?
A regra número um se você se descobrir que está infectado com um ransomware é nunca pagar o resgate. (Esse é um conselho defendido pelo FBI.) Tudo o que isso faz é encorajar os criminosos cibernéticos a lançarem ataques adicionais contra você ou qualquer outra pessoa. No entanto, você pode conseguir recuperar alguns arquivos criptografados usando descriptografadores gratuitos.
Para ser bem claro: Nem todas as famílias de ransomware tiveram descriptografadores criados, em muitos casos porque o ransomware está utilizando algoritmos avançados e sofisticados de criptografia. E mesmo que haja um descriptografador, nem sempre está claro se é para a versão correta do malware. Você não gostaria de criptografar ainda mais seus arquivos usando o script errado de descriptografia. Portanto, você precisará prestar muita atenção à mensagem de resgate, ou talvez pedir o conselho de um especialista em segurança/TI antes de tentar qualquer coisa.
Outras formas de lidar com uma infecção por ransomware incluem o download de um produto de segurança conhecido para fazer a correção, e a execução de uma verificação para remover a ameaça. Você pode não recuperar seus arquivos, mas você pode ter certeza de que a infecção será limpa. Para o ransomware de bloqueio de tela, uma restauração completa do sistema pode ser suficiente. Se isso não funcionar, você pode tentar executar uma verificação a partir de um CD ou unidade USB inicializável.
Se você quiser testar e impedir uma infecção de ransomware de criptografia em ação, você precisará ficar especialmente atento. Se você notar seu sistema ficando mais lento sem motivo aparente, desligue-o e desconecte-o da Internet. Se, após você inicializar novamente, o malware ainda estiver ativo, ele não poderá enviar ou receber instruções do servidor de comando e controle. Isso significa que sem uma chave ou uma maneira de obter o pagamento, o malware pode ficar inerte. Nesse ponto, baixe e instale um produto de segurança e execute uma verificação completa.
O programa Fantástico da Rede Globo no dia 25 de outubro de 2015 apresentou uma reportagem sobre esse assunto.
Se você gostou desse artigo, deixe seu comentário abaixo, assim poderemos interagir e saber sua opinião. Você também pode compartilhar esse artigo, além de seguir nossas páginas nas redes sociais para acompanhar os novos artigos.