Ransomware: Exemplos e tendências em 2024

Ransomware é um malware que criptografa os arquivos no PC da vítima e solicita o pagamento do resgate. A injeção de ransomware é uma das formas mais perigosas de ataques cibernéticos.

Você pode estar interessado em dar uma olhada em nossas outras ferramentas antivírus:
Trojan Killer, Trojan Scanner and Online Virus Scanner.

O que é Ransomware? Exemplos e tendências de ransomware em 2024 | Gridinsoft

O que é Ransomware?

April 26, 2023

É provavelmente o pior pesadelo descobrir que os arquivos em seu PC estão criptografados. Você estava verificando sua caixa de correio e clicando nos arquivos anexados para ver o que eles continham. O arquivo estranho, que não tinha nada além de permitir macros, não parecia suspeito. Mas de repente, menos de 15 minutos depois de abrir esse documento, você vê que todos os arquivos em seu PC têm extensões estranhas e pelo menos um arquivo readme.txt está dentro de cada pasta. Como isso aconteceu?

A definição curta de ransomware está escondida em seu nome, assim como em muitos outros vírus. “Ransom software” é um programa que injeta em seu computador, criptografa seus arquivos e, em seguida, pede que você pague o resgate para recuperar seus arquivos. Alguns exemplos de ransomware podem ameaçar suas vítimas de excluir seus arquivos ou publicar alguns de seus dados confidenciais se você não pagar o resgate. Embora o primeiro perigo seja 100% mentira, a segunda tese pode ser real, pois o ransomware geralmente é espalhado com spyware ou ladrões.

Vários exemplos de ransomware usam diferentes métodos de criptografia. Os princípios de criptografia AES-256 e RSA-1024 são usados ​​na maioria dos casos, mas às vezes você pode atender aos padrões usando RSA-2048. O número no final significa principalmente o grau que você precisa trazer dois para obter o número de chaves possíveis. Mesmo no caso do AES-256, o número de chaves é um número de 78 dígitos. Você pode usar força bruta? Talvez, se você tiver 2 milhões de anos sobrando. Ou um PC quântico com desempenho muito melhor do que qualquer outro atualmente existente. ~ Equipe Gridinsoft

Para cada vítima, o ransomware gera uma chave online exclusiva. Essa chave é armazenada no servidor mantido por criminosos cibernéticos. Se o vírus não conseguir se conectar a esse servidor, ele criptografa os arquivos com a chave offline, que é armazenada localmente na máquina criptografada. A quantidade de chaves offline é limitada. Portanto, você tem uma chave de descriptografia em comum com várias outras vítimas.

Infelizmente, não há 100% de garantia de recuperar seus arquivos. Se você tiver sorte e o ransomware usar a chave offline, poderá descriptografar seus dados muito mais rápido. No entanto, obter as chaves é bastante longo e você pode ter que esperar várias semanas. O aplicativo de descriptografia, que deve ser usado para descriptografia de arquivos, receberá a atualização com a chave adequada para você assim que os analistas a encontrarem.

As chaves online são muito mais difíceis de resolver. Como cada chave é única, você pode esperar meses. Os distribuidores de ransomware provavelmente serão pegos e forçados a descobrir todas as chaves que possuem nos servidores. Outro caso em que todas as chaves são liberadas ao público é quando os criadores de ransomware decidem encerrar suas atividades maliciosas. Tal situação ocorreu apenas uma vez - em 2018, quando os desenvolvedores do GandCrab alegaram que ganharam 2 bilhões de dólares e suspenderam suas atividades.

Estágios de ataque de ransomware

A maioria dos analistas define seis estágios principais de um ataque de ransomware. Eles podem acontecer durante um único dia e dentro de um mês. No entanto, a ordem, bem como o sentido desses passos, permanece sempre o mesmo.

Compromisso. Às vezes, também é chamado de injeção inicial. Nesse ponto, os invasores injetam o malware na rede (ou no dispositivo, se for um ataque contra o usuário individual). O comprometimento geralmente é feito por meio de violações de RDP, spam de e-mail ou uso de software não licenciado.

Infecção. Nesse estágio, os criminosos usam a presença inicial na rede que ganharam para injetar a carga maliciosa. Eles raramente usam downloads diretos - é fácil detectar e prevenir com soluções de segurança. É por isso que o download de malware geralmente explora os erros do Windows e do software de aplicativos. No entanto, pode até preferir o download direto quando atinge a rede desprotegida ou um único usuário.

Escalonamento. Todo malware depende da execução com privilégios de administrador. Essa propriedade possibilita diminuir o risco de malware usando a conta com privilégios de usuário. No entanto, mesmo nesse caso, os cibercriminosos podem encontrar um caminho. A maioria dos estágios de escalonamento em redes corporativas é feita por meio da exploração de vulnerabilidades, principalmente aquelas que escalonam privilégios.

Verificar. Essa etapa supõe a verificação da(s) máquina(s) infectada(s) para detectar todos os arquivos que o ransomware pode criptografar. Normalmente, o ransomware pega os formatos de dados mais sensíveis - aqueles que pertencem a arquivos, imagens e músicas do MS Office. No entanto, alguns agem de forma diferente e cifram o que alcançam, apesar dos arquivos que podem prejudicar a funcionalidade dos programas.

Criptografia. A criptografia pode levar minutos ou horas, dependendo do número de arquivos nas máquinas atacadas e da qualidade do software de codificação. O grupo LockBit, por exemplo, é conhecido por ter a criptografia mais rápida - leva apenas 5 minutos para criptografar 100 GB de dados.

Dia de pagamento. Quando a criptografia termina, o malware notifica a vítima sobre o ataque. Geralmente gera um arquivo de nota de resgate na área de trabalho e em cada pasta com arquivos criptografados. Opcionalmente, também pode alterar o papel de parede da área de trabalho para a nota de resgate. Nos casos mais extremos (como o Petya ransomware), o malware infectará o carregador de inicialização e mostrará o banner da nota de resgate quando você pressionar o botão liga/desliga em vez do carregamento do sistema operacional.

Ransomware Attack Stages
Ataque Ransomware Etapas

Tipos de ransomware

Existem vários tipos de ransomware atualmente. Todos os usuários da comunidade de segurança cibernética estão acostumados com o tipo de ransomware chamado crypto. Esse é precisamente o vírus sobre o qual você pode ler acima. Outro tipo de ransomware estava ativo muito antes, antes de 2014. Chamava-se ransomware de armário. Como você pode entender pelo nome, esse vírus estava bloqueando seu sistema, pedindo um resgate pelo desbloqueio da área de trabalho. Deixe-me mostrar a diferença crítica entre locker e crypto-ransomware:

Ransomware de armário:


  • Bloqueia sua área de trabalho;
  • Cobre a área de trabalho com um banner de nota de resgate;
  • Modifica as chaves de registro responsáveis ​​pelo trabalho do Windows Explorer;
  • Suspende o processo explorer.exe;
  • Bloqueia a maioria das combinações do sistema (Ctrl+Alt+Del, Ctrl+Shift+Esc);
  • Algumas versões podem infectar o BIOS, impossibilitando o carregamento do sistema;
  • Às vezes, pode ser facilmente removido após manipulações complicadas com funções do sistema;
  • Pedir que você pague um resgate como recarga de número de celular, bem como através do sistema de pagamento online (PayPal, WebMoney, Qiwi, etc.);

Ransomware de criptografia:


  • Criptografa os arquivos das extensões mais populares (.docx, .png, .jpeg, .gif, .xslx) e adiciona a eles sua extensão específica;
  • Altera as chaves de registro responsáveis ​​pela inicialização dos programas de rede e inicialização;
  • Adiciona um arquivo .txt com as instruções de pagamento do resgate a cada pasta onde os arquivos criptografados estão localizados;
  • Pode bloquear o acesso a alguns dos sites;
  • Evita o lançamento dos arquivos de instalação do software antimalware;
  • Pode alterar seus papéis de parede em uma nota de resgate;
  • O pagamento do resgate está prestes a ser feito apenas com o uso de criptomoedas, principalmente - Bitcoin;

Últimos ataques de ransomware

Lista de famílias de ransomware, atual para February, 2024:

  • Avaddon ransomware teve uma vida curta, mas bastante ativa: seus desenvolvedores decidiram encerrar suas atividades em maio de 2021
  • STOP Djvu ransomware é uma das famílias de ransomware mais difundidas. A primeira atividade desse tipo de vírus foi detectada em 2018 e, ainda assim, sua atividade é muito alta. Sendo direcionado principalmente a usuários simples, este ransomware pode ser um exemplo perfeito de um ransomware "clássico"
  • Conti ransomware. Esse grupo criminoso ataca organizações onde as interrupções de TI podem ter consequências fatais: hospitais, operadoras de emergência, serviços médicos de emergência e agências de aplicação da lei
  • Matrix ransomware é um veterano do setor de ransomware, que apareceu em dezembro de 2016
  • MedusaLocker ransomware apareceu em setembro de 2019 e teve um início muito rápido com ataques a empresas de todo o mundo l>
  • Snatch ransomware usa o truque com o modo de segurança do Windows e serviço privilegiado
  • VoidCrypt ransomware usa vários recursos que são mais comuns para vírus corporativos
  • Xorist ransomware usa o construtor de criptografia pode mudar tanto que é difícil reconhecê-lo
  • Dharma ransomware surgiu por volta de 2016, esta família de ransomware visa uma pequena empresa. Quase 77% de todos os casos do Dharma estão relacionados à exploração de vulnerabilidades RDP
  • Egregor ransomware atacou grandes empresas de todo o mundo
  • HiddenTear - Sendo inicialmente criado para fins educacionais
  • LockBit um ransomware extremamente rápido
  • Magniber ransomware tentando usar uma vulnerabilidade conhecida do PrintNightmare para comprometer as vítimas
  • Makop não permanece em um único algoritmo de criptografia
  • Ryuk é um veterano que possivelmente está relacionado a hackers norte-coreanos

É uma solução para pagar o resgate?

A maioria da renda que os desenvolvedores de ransomware recebem é usada para financiar várias atividades fora da lei, como terrorismo, outras campanhas de distribuição de malware, tráfico de drogas e assim por diante. Como todos os pagamentos de resgate são feitos em criptomoedas, não há como descobrir a personalidade dos bandidos. No entanto, os endereços de e-mail às vezes podem indicar distribuidores de ransomware no Oriente Médio.

Como você já pode concluir, pagar o resgate equivale a participar de atividades fora da lei. Claro, ninguém vai culpá-lo pelo financiamento do terrorismo. Mas não há nada agradável em entender que o dinheiro que você ganha por um trabalho justo é gasto em terrorismo ou drogas. Muitas vezes, mesmo grandes corporações que são chantageadas com ameaças de publicar alguns dados internos não estão pagando um centavo a esses bandidos.

Como posso proteger meu computador contra ransomware?

Geralmente, os programas antimalware atualizam seus bancos de dados de detecção todos os dias. O GridinSoft Anti-Malware pode oferecer atualizações de hora em hora, o que diminui a chance de uma amostra de ransomware completamente nova se infiltrar no seu sistema. No entanto, fazer uso de software anti-malware não é uma panacéia. Seria melhor se você fosse cuidadoso em todos os lugares de risco. São eles:

  • Mensagens de e-mail. A maioria dos casos de ransomware, independentemente da família, está relacionada a mensagens de e-mail maliciosas. As pessoas costumavam confiar em todas as mensagens enviadas por e-mail e não achavam que algo malicioso pudesse estar dentro do arquivo anexado. Enquanto isso, os ladrões cibernéticos usam essa fraqueza e enganam as pessoas para habilitar macros em arquivos do Microsoft Office. Macros é uma aplicação específica que permite aumentar a interação com o documento. Você pode construir qualquer coisa no Visual Basic e adicioná-la ao documento como macros. Ladrões, sem pensar mais, adicionam código de ransomware.
  • Utilitários duvidosos e programas não confiáveis. Você pode ver vários conselhos enquanto navega na Web. Fóruns online, redes sociais e redes de semeadura - esses locais são conhecidos como fontes de várias ferramentas específicas. E não há nada de ruim em tal software - às vezes, as pessoas precisam de funções que não são exigidas (ou aceitas) para a produção corporativa. Essas ferramentas são os chamados keygens para vários aplicativos, ativadores de chave de licença (o KMS Activator é um dos mais conhecidos) e utilitários para ajuste de elementos do sistema. A maioria dos mecanismos antimalware detecta esses aplicativos como maliciosos, portanto, você provavelmente desativará o antivírus ou adicionará o aplicativo à lista de permissões. Enquanto isso, esse utilitário pode estar limpo ou infectado por trojans ou ransomware.

Uma linha do tempo dos maiores ataques de ransomware: