Ransomware: Exemplos e tendências em 2022

Ransomware é um malware que criptografa os arquivos no PC da vítima e solicita o pagamento do resgate. A injeção de ransomware é uma das formas mais perigosas de ataques cibernéticos.

Você pode estar interessado em dar uma olhada em nossas outras ferramentas antivírus:
Trojan Killer, Trojan Scanner.

O que é Ransomware? Exemplos e tendências de ransomware em 2022 | Gridinsoft

O que é Ransomware?

November 08, 2022

√Č provavelmente o pior pesadelo descobrir que os arquivos em seu PC est√£o criptografados. Voc√™ estava verificando sua caixa de correio e clicando nos arquivos anexados para ver o que eles continham. O arquivo estranho, que n√£o tinha nada al√©m de permitir macros, n√£o parecia suspeito. Mas de repente, menos de 15 minutos depois de abrir esse documento, voc√™ v√™ que todos os arquivos em seu PC t√™m extens√Ķes estranhas e pelo menos um arquivo readme.txt est√° dentro de cada pasta. Como isso aconteceu?

A defini√ß√£o curta de ransomware est√° escondida em seu nome, assim como em muitos outros v√≠rus. ‚ÄúRansom software‚ÄĚ √© um programa que injeta em seu computador, criptografa seus arquivos e, em seguida, pede que voc√™ pague o resgate para recuperar seus arquivos. Alguns exemplos de ransomware podem amea√ßar suas v√≠timas de excluir seus arquivos ou publicar alguns de seus dados confidenciais se voc√™ n√£o pagar o resgate. Embora o primeiro perigo seja 100% mentira, a segunda tese pode ser real, pois o ransomware geralmente √© espalhado com spyware ou ladr√Ķes.

V√°rios exemplos de ransomware usam diferentes m√©todos de criptografia. Os princ√≠pios de criptografia AES-256 e RSA-1024 s√£o usados ‚Äč‚Äčna maioria dos casos, mas √†s vezes voc√™ pode atender aos padr√Ķes usando RSA-2048. O n√ļmero no final significa principalmente o grau que voc√™ precisa trazer dois para obter o n√ļmero de chaves poss√≠veis. Mesmo no caso do AES-256, o n√ļmero de chaves √© um n√ļmero de 78 d√≠gitos. Voc√™ pode usar for√ßa bruta? Talvez, se voc√™ tiver 2 milh√Ķes de anos sobrando. Ou um PC qu√Ęntico com desempenho muito melhor do que qualquer outro atualmente existente. ~ Equipe Gridinsoft

Para cada vítima, o ransomware gera uma chave online exclusiva. Essa chave é armazenada no servidor mantido por criminosos cibernéticos. Se o vírus não conseguir se conectar a esse servidor, ele criptografa os arquivos com a chave offline, que é armazenada localmente na máquina criptografada. A quantidade de chaves offline é limitada. Portanto, você tem uma chave de descriptografia em comum com várias outras vítimas.

Infelizmente, não há 100% de garantia de recuperar seus arquivos. Se você tiver sorte e o ransomware usar a chave offline, poderá descriptografar seus dados muito mais rápido. No entanto, obter as chaves é bastante longo e você pode ter que esperar várias semanas. O aplicativo de descriptografia, que deve ser usado para descriptografia de arquivos, receberá a atualização com a chave adequada para você assim que os analistas a encontrarem.

As chaves online s√£o muito mais dif√≠ceis de resolver. Como cada chave √© √ļnica, voc√™ pode esperar meses. Os distribuidores de ransomware provavelmente ser√£o pegos e for√ßados a descobrir todas as chaves que possuem nos servidores. Outro caso em que todas as chaves s√£o liberadas ao p√ļblico √© quando os criadores de ransomware decidem encerrar suas atividades maliciosas. Tal situa√ß√£o ocorreu apenas uma vez - em 2018, quando os desenvolvedores do GandCrab alegaram que ganharam 2 bilh√Ķes de d√≥lares e suspenderam suas atividades.

Est√°gios de ataque de ransomware

A maioria dos analistas define seis est√°gios principais de um ataque de ransomware. Eles podem acontecer durante um √ļnico dia e dentro de um m√™s. No entanto, a ordem, bem como o sentido desses passos, permanece sempre o mesmo.

Compromisso. √Äs vezes, tamb√©m √© chamado de inje√ß√£o inicial. Nesse ponto, os invasores injetam o malware na rede (ou no dispositivo, se for um ataque contra o usu√°rio individual). O comprometimento geralmente √© feito por meio de viola√ß√Ķes de RDP, spam de e-mail ou uso de software n√£o licenciado.

Infec√ß√£o. Nesse est√°gio, os criminosos usam a presen√ßa inicial na rede que ganharam para injetar a carga maliciosa. Eles raramente usam downloads diretos - √© f√°cil detectar e prevenir com solu√ß√Ķes de seguran√ßa. √Č por isso que o download de malware geralmente explora os erros do Windows e do software de aplicativos. No entanto, pode at√© preferir o download direto quando atinge a rede desprotegida ou um √ļnico usu√°rio.

Escalonamento. Todo malware depende da execução com privilégios de administrador. Essa propriedade possibilita diminuir o risco de malware usando a conta com privilégios de usuário. No entanto, mesmo nesse caso, os cibercriminosos podem encontrar um caminho. A maioria dos estágios de escalonamento em redes corporativas é feita por meio da exploração de vulnerabilidades, principalmente aquelas que escalonam privilégios.

Verificar. Essa etapa sup√Ķe a verifica√ß√£o da(s) m√°quina(s) infectada(s) para detectar todos os arquivos que o ransomware pode criptografar. Normalmente, o ransomware pega os formatos de dados mais sens√≠veis - aqueles que pertencem a arquivos, imagens e m√ļsicas do MS Office. No entanto, alguns agem de forma diferente e cifram o que alcan√ßam, apesar dos arquivos que podem prejudicar a funcionalidade dos programas.

Criptografia. A criptografia pode levar minutos ou horas, dependendo do n√ļmero de arquivos nas m√°quinas atacadas e da qualidade do software de codifica√ß√£o. O grupo LockBit, por exemplo, √© conhecido por ter a criptografia mais r√°pida - leva apenas 5 minutos para criptografar 100 GB de dados.

Dia de pagamento. Quando a criptografia termina, o malware notifica a vítima sobre o ataque. Geralmente gera um arquivo de nota de resgate na área de trabalho e em cada pasta com arquivos criptografados. Opcionalmente, também pode alterar o papel de parede da área de trabalho para a nota de resgate. Nos casos mais extremos (como o Petya ransomware), o malware infectará o carregador de inicialização e mostrará o banner da nota de resgate quando você pressionar o botão liga/desliga em vez do carregamento do sistema operacional.

Ransomware Attack Stages
Ataque Ransomware Etapas

Tipos de ransomware

Existem vários tipos de ransomware atualmente. Todos os usuários da comunidade de segurança cibernética estão acostumados com o tipo de ransomware chamado crypto. Esse é precisamente o vírus sobre o qual você pode ler acima. Outro tipo de ransomware estava ativo muito antes, antes de 2014. Chamava-se ransomware de armário. Como você pode entender pelo nome, esse vírus estava bloqueando seu sistema, pedindo um resgate pelo desbloqueio da área de trabalho. Deixe-me mostrar a diferença crítica entre locker e crypto-ransomware:

Ransomware de arm√°rio:


  • Bloqueia sua √°rea de trabalho;
  • Cobre a √°rea de trabalho com um banner de nota de resgate;
  • Modifica as chaves de registro respons√°veis ‚Äč‚Äčpelo trabalho do Windows Explorer;
  • Suspende o processo explorer.exe;
  • Bloqueia a maioria das combina√ß√Ķes do sistema (Ctrl+Alt+Del, Ctrl+Shift+Esc);
  • Algumas vers√Ķes podem infectar o BIOS, impossibilitando o carregamento do sistema;
  • √Äs vezes, pode ser facilmente removido ap√≥s manipula√ß√Ķes complicadas com fun√ß√Ķes do sistema;
  • Pedir que voc√™ pague um resgate como recarga de n√ļmero de celular, bem como atrav√©s do sistema de pagamento online (PayPal, WebMoney, Qiwi, etc.);

Ransomware de criptografia:


  • Criptografa os arquivos das extens√Ķes mais populares (.docx, .png, .jpeg, .gif, .xslx) e adiciona a eles sua extens√£o espec√≠fica;
  • Altera as chaves de registro respons√°veis ‚Äč‚Äčpela inicializa√ß√£o dos programas de rede e inicializa√ß√£o;
  • Adiciona um arquivo .txt com as instru√ß√Ķes de pagamento do resgate a cada pasta onde os arquivos criptografados est√£o localizados;
  • Pode bloquear o acesso a alguns dos sites;
  • Evita o lan√ßamento dos arquivos de instala√ß√£o do software antimalware;
  • Pode alterar seus pap√©is de parede em uma nota de resgate;
  • O pagamento do resgate est√° prestes a ser feito apenas com o uso de criptomoedas, principalmente - Bitcoin;

√öltimos ataques de ransomware

Lista de famílias de ransomware, atual para December, 2022:

  • Avaddon ransomware teve uma vida curta, mas bastante ativa: seus desenvolvedores decidiram encerrar suas atividades em maio de 2021
  • STOP Djvu ransomware √© uma das fam√≠lias de ransomware mais difundidas. A primeira atividade desse tipo de v√≠rus foi detectada em 2018 e, ainda assim, sua atividade √© muito alta. Sendo direcionado principalmente a usu√°rios simples, este ransomware pode ser um exemplo perfeito de um ransomware "cl√°ssico"
  • Conti ransomware. Esse grupo criminoso ataca organiza√ß√Ķes onde as interrup√ß√Ķes de TI podem ter consequ√™ncias fatais: hospitais, operadoras de emerg√™ncia, servi√ßos m√©dicos de emerg√™ncia e ag√™ncias de aplica√ß√£o da lei
  • Matrix ransomware √© um veterano do setor de ransomware, que apareceu em dezembro de 2016
  • MedusaLocker ransomware apareceu em setembro de 2019 e teve um in√≠cio muito r√°pido com ataques a empresas de todo o mundo l>
  • Snatch ransomware usa o truque com o modo de seguran√ßa do Windows e servi√ßo privilegiado
  • VoidCrypt ransomware usa v√°rios recursos que s√£o mais comuns para v√≠rus corporativos
  • Xorist ransomware usa o construtor de criptografia pode mudar tanto que √© dif√≠cil reconhec√™-lo
  • Dharma ransomware surgiu por volta de 2016, esta fam√≠lia de ransomware visa uma pequena empresa. Quase 77% de todos os casos do Dharma est√£o relacionados √† explora√ß√£o de vulnerabilidades RDP
  • Egregor ransomware atacou grandes empresas de todo o mundo
  • HiddenTear - Sendo inicialmente criado para fins educacionais
  • LockBit um ransomware extremamente r√°pido
  • Magniber ransomware tentando usar uma vulnerabilidade conhecida do PrintNightmare para comprometer as v√≠timas
  • Makop n√£o permanece em um √ļnico algoritmo de criptografia
  • Ryuk √© um veterano que possivelmente est√° relacionado a hackers norte-coreanos

√Č uma solu√ß√£o para pagar o resgate?

A maioria da renda que os desenvolvedores de ransomware recebem é usada para financiar várias atividades fora da lei, como terrorismo, outras campanhas de distribuição de malware, tráfico de drogas e assim por diante. Como todos os pagamentos de resgate são feitos em criptomoedas, não há como descobrir a personalidade dos bandidos. No entanto, os endereços de e-mail às vezes podem indicar distribuidores de ransomware no Oriente Médio.

Como voc√™ j√° pode concluir, pagar o resgate equivale a participar de atividades fora da lei. Claro, ningu√©m vai culp√°-lo pelo financiamento do terrorismo. Mas n√£o h√° nada agrad√°vel em entender que o dinheiro que voc√™ ganha por um trabalho justo √© gasto em terrorismo ou drogas. Muitas vezes, mesmo grandes corpora√ß√Ķes que s√£o chantageadas com amea√ßas de publicar alguns dados internos n√£o est√£o pagando um centavo a esses bandidos.

Como posso proteger meu computador contra ransomware?

Geralmente, os programas antimalware atualizam seus bancos de dados de detec√ß√£o todos os dias. O GridinSoft Anti-Malware pode oferecer atualiza√ß√Ķes de hora em hora, o que diminui a chance de uma amostra de ransomware completamente nova se infiltrar no seu sistema. No entanto, fazer uso de software anti-malware n√£o √© uma panac√©ia. Seria melhor se voc√™ fosse cuidadoso em todos os lugares de risco. S√£o eles:

  • Mensagens de e-mail. A maioria dos casos de ransomware, independentemente da fam√≠lia, est√° relacionada a mensagens de e-mail maliciosas. As pessoas costumavam confiar em todas as mensagens enviadas por e-mail e n√£o achavam que algo malicioso pudesse estar dentro do arquivo anexado. Enquanto isso, os ladr√Ķes cibern√©ticos usam essa fraqueza e enganam as pessoas para habilitar macros em arquivos do Microsoft Office. Macros √© uma aplica√ß√£o espec√≠fica que permite aumentar a intera√ß√£o com o documento. Voc√™ pode construir qualquer coisa no Visual Basic e adicion√°-la ao documento como macros. Ladr√Ķes, sem pensar mais, adicionam c√≥digo de ransomware.
  • Utilit√°rios duvidosos e programas n√£o confi√°veis. Voc√™ pode ver v√°rios conselhos enquanto navega na Web. F√≥runs online, redes sociais e redes de semeadura - esses locais s√£o conhecidos como fontes de v√°rias ferramentas espec√≠ficas. E n√£o h√° nada de ruim em tal software - √†s vezes, as pessoas precisam de fun√ß√Ķes que n√£o s√£o exigidas (ou aceitas) para a produ√ß√£o corporativa. Essas ferramentas s√£o os chamados keygens para v√°rios aplicativos, ativadores de chave de licen√ßa (o KMS Activator √© um dos mais conhecidos) e utilit√°rios para ajuste de elementos do sistema. A maioria dos mecanismos antimalware detecta esses aplicativos como maliciosos, portanto, voc√™ provavelmente desativar√° o antiv√≠rus ou adicionar√° o aplicativo √† lista de permiss√Ķes. Enquanto isso, esse utilit√°rio pode estar limpo ou infectado por trojans ou ransomware.

Uma linha do tempo dos maiores ataques de ransomware: