O que é Ransomware?
July 27, 2024
A definição curta de ransomware está escondida em seu nome, assim como em muitos outros vírus. “Ransom software” é um programa que injeta em seu computador, criptografa seus arquivos e, em seguida, pede que você pague o resgate para recuperar seus arquivos. Alguns exemplos de ransomware podem ameaçar suas vítimas de excluir seus arquivos ou publicar alguns de seus dados confidenciais se você não pagar o resgate. Embora o primeiro perigo seja 100% mentira, a segunda tese pode ser real, pois o ransomware geralmente é espalhado com spyware ou ladrões.
Vários exemplos de ransomware usam diferentes métodos de criptografia. Os princípios de criptografia AES-256 e RSA-1024 são usados na maioria dos casos, mas às vezes você pode atender aos padrões usando RSA-2048. O número no final significa principalmente o grau que você precisa trazer dois para obter o número de chaves possíveis. Mesmo no caso do AES-256, o número de chaves é um número de 78 dígitos. Você pode usar força bruta? Talvez, se você tiver 2 milhões de anos sobrando. Ou um PC quântico com desempenho muito melhor do que qualquer outro atualmente existente. ~ Equipe Gridinsoft
Para cada vítima, o ransomware gera uma chave online exclusiva. Essa chave é armazenada no servidor mantido por criminosos cibernéticos. Se o vírus não conseguir se conectar a esse servidor, ele criptografa os arquivos com a chave offline, que é armazenada localmente na máquina criptografada. A quantidade de chaves offline é limitada. Portanto, você tem uma chave de descriptografia em comum com várias outras vítimas.
Infelizmente, não há 100% de garantia de recuperar seus arquivos. Se você tiver sorte e o ransomware usar a chave offline, poderá descriptografar seus dados muito mais rápido. No entanto, obter as chaves é bastante longo e você pode ter que esperar várias semanas. O aplicativo de descriptografia, que deve ser usado para descriptografia de arquivos, receberá a atualização com a chave adequada para você assim que os analistas a encontrarem.
As chaves online são muito mais difíceis de resolver. Como cada chave é única, você pode esperar meses. Os distribuidores de ransomware provavelmente serão pegos e forçados a descobrir todas as chaves que possuem nos servidores. Outro caso em que todas as chaves são liberadas ao público é quando os criadores de ransomware decidem encerrar suas atividades maliciosas. Tal situação ocorreu apenas uma vez - em 2018, quando os desenvolvedores do GandCrab alegaram que ganharam 2 bilhões de dólares e suspenderam suas atividades.
Read also: AlienWare Ransomware
Estágios de ataque de ransomware
A maioria dos analistas define seis estágios principais de um ataque de ransomware. Eles podem acontecer durante um único dia e dentro de um mês. No entanto, a ordem, bem como o sentido desses passos, permanece sempre o mesmo.Compromisso. Às vezes, também é chamado de injeção inicial. Nesse ponto, os invasores injetam o malware na rede (ou no dispositivo, se for um ataque contra o usuário individual). O comprometimento geralmente é feito por meio de violações de RDP, spam de e-mail ou uso de software não licenciado.
Infecção. Nesse estágio, os criminosos usam a presença inicial na rede que ganharam para injetar a carga maliciosa. Eles raramente usam downloads diretos - é fácil detectar e prevenir com soluções de segurança. É por isso que o download de malware geralmente explora os erros do Windows e do software de aplicativos. No entanto, pode até preferir o download direto quando atinge a rede desprotegida ou um único usuário.
Escalonamento. Todo malware depende da execução com privilégios de administrador. Essa propriedade possibilita diminuir o risco de malware usando a conta com privilégios de usuário. No entanto, mesmo nesse caso, os cibercriminosos podem encontrar um caminho. A maioria dos estágios de escalonamento em redes corporativas é feita por meio da exploração de vulnerabilidades, principalmente aquelas que escalonam privilégios.
Verificar. Essa etapa supõe a verificação da(s) máquina(s) infectada(s) para detectar todos os arquivos que o ransomware pode criptografar. Normalmente, o ransomware pega os formatos de dados mais sensíveis - aqueles que pertencem a arquivos, imagens e músicas do MS Office. No entanto, alguns agem de forma diferente e cifram o que alcançam, apesar dos arquivos que podem prejudicar a funcionalidade dos programas.
Criptografia. A criptografia pode levar minutos ou horas, dependendo do número de arquivos nas máquinas atacadas e da qualidade do software de codificação. O grupo LockBit, por exemplo, é conhecido por ter a criptografia mais rápida - leva apenas 5 minutos para criptografar 100 GB de dados.
Dia de pagamento. Quando a criptografia termina, o malware notifica a vítima sobre o ataque. Geralmente gera um arquivo de nota de resgate na área de trabalho e em cada pasta com arquivos criptografados. Opcionalmente, também pode alterar o papel de parede da área de trabalho para a nota de resgate. Nos casos mais extremos (como o Petya ransomware), o malware infectará o carregador de inicialização e mostrará o banner da nota de resgate quando você pressionar o botão liga/desliga em vez do carregamento do sistema operacional.
Tipos de ransomware
Existem vários tipos de ransomware atualmente. Todos os usuários da comunidade de segurança cibernética estão acostumados com o tipo de ransomware chamado crypto. Esse é precisamente o vírus sobre o qual você pode ler acima. Outro tipo de ransomware estava ativo muito antes, antes de 2014. Chamava-se ransomware de armário. Como você pode entender pelo nome, esse vírus estava bloqueando seu sistema, pedindo um resgate pelo desbloqueio da área de trabalho. Deixe-me mostrar a diferença crítica entre locker e crypto-ransomware:
Ransomware de armário:
- Bloqueia sua área de trabalho;
- Cobre a área de trabalho com um banner de nota de resgate;
- Modifica as chaves de registro responsáveis pelo trabalho do Windows Explorer;
- Suspende o processo explorer.exe;
- Bloqueia a maioria das combinações do sistema (Ctrl+Alt+Del, Ctrl+Shift+Esc);
- Algumas versões podem infectar o BIOS, impossibilitando o carregamento do sistema;
- Às vezes, pode ser facilmente removido após manipulações complicadas com funções do sistema;
- Pedir que você pague um resgate como recarga de número de celular, bem como através do sistema de pagamento online (PayPal, WebMoney, Qiwi, etc.);
Ransomware de criptografia:
- Criptografa os arquivos das extensões mais populares (.docx, .png, .jpeg, .gif, .xslx) e adiciona a eles sua extensão específica;
- Altera as chaves de registro responsáveis pela inicialização dos programas de rede e inicialização;
- Adiciona um arquivo .txt com as instruções de pagamento do resgate a cada pasta onde os arquivos criptografados estão localizados;
- Pode bloquear o acesso a alguns dos sites;
- Evita o lançamento dos arquivos de instalação do software antimalware;
- Pode alterar seus papéis de parede em uma nota de resgate;
- O pagamento do resgate está prestes a ser feito apenas com o uso de criptomoedas, principalmente - Bitcoin;
Últimos ataques de ransomware
- AlienWare Ransomware
- Lockbit 4.0 Released, With New Infrastructure and Features
- LockBit Ransomware Developer Arrested and Extradicted in Israel
- Novalock Ransomware
- Locklocklock Ransomware
- SUPERLOCK Ransomware Virus Simple Step-by-Step Removal Guide
- Cleo File Transfer Vulnerabilities Exploited by Cl0p Ransomware
- Wazawaka Hacker Arrested in Kaliningrad, Russia
Lista de famílias de ransomware, atual para December, 2024:
- Avaddon ransomware teve uma vida curta, mas bastante ativa: seus desenvolvedores decidiram encerrar suas atividades em maio de 2021
- STOP Djvu ransomware é uma das famílias de ransomware mais difundidas. A primeira atividade desse tipo de vírus foi detectada em 2018 e, ainda assim, sua atividade é muito alta. Sendo direcionado principalmente a usuários simples, este ransomware pode ser um exemplo perfeito de um ransomware "clássico"
- Conti ransomware. Esse grupo criminoso ataca organizações onde as interrupções de TI podem ter consequências fatais: hospitais, operadoras de emergência, serviços médicos de emergência e agências de aplicação da lei
- Matrix ransomware é um veterano do setor de ransomware, que apareceu em dezembro de 2016
- MedusaLocker ransomware apareceu em setembro de 2019 e teve um início muito rápido com ataques a empresas de todo o mundo l>
- Snatch ransomware usa o truque com o modo de segurança do Windows e serviço privilegiado
- VoidCrypt ransomware usa vários recursos que são mais comuns para vírus corporativos
- Xorist ransomware usa o construtor de criptografia pode mudar tanto que é difícil reconhecê-lo
- Dharma ransomware surgiu por volta de 2016, esta família de ransomware visa uma pequena empresa. Quase 77% de todos os casos do Dharma estão relacionados à exploração de vulnerabilidades RDP
- Egregor ransomware atacou grandes empresas de todo o mundo
- HiddenTear - Sendo inicialmente criado para fins educacionais
- LockBit um ransomware extremamente rápido
- Magniber ransomware tentando usar uma vulnerabilidade conhecida do PrintNightmare para comprometer as vítimas
- Makop não permanece em um único algoritmo de criptografia
- Ryuk é um veterano que possivelmente está relacionado a hackers norte-coreanos
Read also: Lockbit 4.0 Released, With New Infrastructure and Features
É uma solução para pagar o resgate?
A maioria da renda que os desenvolvedores de ransomware recebem é usada para financiar várias atividades fora da lei, como terrorismo, outras campanhas de distribuição de malware, tráfico de drogas e assim por diante. Como todos os pagamentos de resgate são feitos em criptomoedas, não há como descobrir a personalidade dos bandidos. No entanto, os endereços de e-mail às vezes podem indicar distribuidores de ransomware no Oriente Médio.
Como você já pode concluir, pagar o resgate equivale a participar de atividades fora da lei. Claro, ninguém vai culpá-lo pelo financiamento do terrorismo. Mas não há nada agradável em entender que o dinheiro que você ganha por um trabalho justo é gasto em terrorismo ou drogas. Muitas vezes, mesmo grandes corporações que são chantageadas com ameaças de publicar alguns dados internos não estão pagando um centavo a esses bandidos.
Como posso proteger meu computador contra ransomware?
Geralmente, os programas antimalware atualizam seus bancos de dados de detecção todos os dias. O GridinSoft Anti-Malware pode oferecer atualizações de hora em hora, o que diminui a chance de uma amostra de ransomware completamente nova se infiltrar no seu sistema. No entanto, fazer uso de software anti-malware não é uma panacéia. Seria melhor se você fosse cuidadoso em todos os lugares de risco. São eles:
- Mensagens de e-mail. A maioria dos casos de ransomware, independentemente da família, está relacionada a mensagens de e-mail maliciosas. As pessoas costumavam confiar em todas as mensagens enviadas por e-mail e não achavam que algo malicioso pudesse estar dentro do arquivo anexado. Enquanto isso, os ladrões cibernéticos usam essa fraqueza e enganam as pessoas para habilitar macros em arquivos do Microsoft Office. Macros é uma aplicação específica que permite aumentar a interação com o documento. Você pode construir qualquer coisa no Visual Basic e adicioná-la ao documento como macros. Ladrões, sem pensar mais, adicionam código de ransomware.
- Utilitários duvidosos e programas não confiáveis. Você pode ver vários conselhos enquanto navega na Web. Fóruns online, redes sociais e redes de semeadura - esses locais são conhecidos como fontes de várias ferramentas específicas. E não há nada de ruim em tal software - às vezes, as pessoas precisam de funções que não são exigidas (ou aceitas) para a produção corporativa. Essas ferramentas são os chamados keygens para vários aplicativos, ativadores de chave de licença (o KMS Activator é um dos mais conhecidos) e utilitários para ajuste de elementos do sistema. A maioria dos mecanismos antimalware detecta esses aplicativos como maliciosos, portanto, você provavelmente desativará o antivírus ou adicionará o aplicativo à lista de permissões. Enquanto isso, esse utilitário pode estar limpo ou infectado por trojans ou ransomware.
Uma linha do tempo dos maiores ataques de ransomware:
- HLAS Ransomware (.hlas File Extension)
- QUAL Ransomware (.qual File Extension)
- WAQA Ransomware (.waqa File Extension)
- WATZ Ransomware (.watz File Extension)
- VEZA Ransomware (.veza File Extension)
- VEHU Ransomware (.vehu File Extension)
- VEPI Ransomware (.vepi File Extension)