A ameaça é antiga, mas muitos usuários e organizações ainda sofrem com variantes que surgem a cada dia, variáveis de ransomware como o Cryptolocker, Critroni, CTB Locker, Krypterade ou ainda Nymaim entre outros possíveis nomes. A figura que ilustra este site é particularmente referente ao CTB Locker.
Afinal, o que é um ransomware? É um tipo particular de vírus (malware) que busca vantagens financeiras para seus criadores, eles infectam o computador da vítima, criptografa os arquivos e na sequência pedem um pagamento como um resgate para recuperar os arquivos criptografados.
Qual a principal forma de contaminação? O principal vetor de infecção deste tipo de malware é engenharia social, ou seja, sites com ofertas de “fotos chocantes”, e-mails maliciosos induzido a vítima a baixar algum arquivo ou com algum anexo infectado. Usualmente a forma mais comum são e-mails relacionados a fatos recentes e de grande impacto, por exemplo, nestes últimos dias muitos e-mails maliciosos estão sendo distribuídos sob o título “Je suis Charlie” (em referência ao atentado terrorista realizado em Paris), ou ainda relacionado ao vazamento de fotos íntimas de celebridades, enfim, fatos que chamam a atenção da vítima.
Fui infectado, o que devo fazer para recuperar meus arquivos? No caso de infecção você deve inicialmente desconectar o computador da rede (principalmente em ambientes corporativos), pois este tipo de malware criptografa conteúdos de unidades de rede. O passo seguinte é garantir que o antivírus esteja atualizado, realizar uma verificação completa (varredura) do computador. A Intel Security (McAfee) disponibiliza a ferramenta “Stinger” gratuitamente que pode eliminar o ransomware (http://www.mcafee.com/stinger). Não se esqueça de aplicar as atualizações do sistema operacional (Windows Update), alguns ransomwares aproveitam-se de vulnerabilidades do sistema operacional. Quanto aos arquivos, você deve restaurar as versões anteriores a infecção, de um backup ou utilizar o recurso “Versões Anteriores” (Shadow Copy) do Windows. Tentar descriptografar os arquivos sem a chave de criptografia não é uma tarefa viável.
Não possuo backup dos meus arquivos e não tenho o recurso de versões anteriores ativado, mas preciso dos meus arquivos, devo pagar ao atacante para recuperar meus arquivos? Pagar ao atacante não deve ser considerado como uma alternativa, não existe qualquer garantia que seus arquivos serão recuperados, adicionalmente seus dados de pagamento (nome completo, número de cartão de crédito, endereço de e-mail, telefone) estarão com os atacantes.
Realmente preciso de meus arquivos, e não vou pagar aos atacantes, existe alguma outra forma? Bem alguns ransomwares utilizam chaves que foram geradas à partir de uma Botnet denominada “Gameover Zeus” que foi fechada em junho de 2014 (http://www.justice.gov/opa/pr/us-leads-multi-national-action-against-gameover-zeus-botnet-and-cryptolocker-ransomware). Se você tiver sorte e seus arquivos foram criptografados com uma destas chaves, você pode acessar o site criado por dois fornecedores de soluções de segurança: https://www.decryptcryptolocker.com/ e verificar se seus arquivos podem ser recuperados. Este site disponibiliza a ferramenta sem custo, fique atento que você terá que enviar o arquivo para análise automatizada (cuidado para conteúdos sensíveis). Novamente vale muito destacar a importância do backup.
Como me proteger deste tipo de malware? O primeiro passo é possuir um bom antivírus e garantir que o mesmo esteja atualizado. Os passos seguintes estão relacionados a educação do usuário (não abrir e-mails de remetentes desconhecidos, não abrir anexos estranhos) e principalmente, manter os sistemas operacionais e aplicativos atualizados, embora não seja comum, alguns ransomwares utilizam vulnerabilidades conhecidas para infectarem os sistemas.
Meu antivírus está atualizado e mesmo assim fui infectado, como isto é possível? Primeiramente é importante possuir um bom antivírus, que além de possuir funcionalidades avançadas, deve possuir uma política de atualização de assinaturas, novas variantes deste tipo de malware surgem a cada dia. A detecção por heurística nem sempre consegue detectar novas variantes deste tipo de malware. Algumas soluções mais robustas e sofisticadas utilizam inteligência de nuvem em adição ao modelo de detecção por assinaturas, neste caso existem sensores espalhados no mundo que são capazes de detectar arquivos suspeitos e oferecer atualização em um período muito curto.