Gridinsoft Logo

Ransomware: Exemplos e tendĂȘncias em 2025

Ransomware é um malware que criptografa os arquivos no PC da vítima e solicita o pagamento do resgate. A injeção de ransomware é uma das formas mais perigosas de ataques cibernéticos.

Baixar Anti-Ransomware

VocĂȘ pode estar interessado em dar uma olhada em nossas outras ferramentas antivĂ­rus:
Trojan Killer, and Online Virus Scanner.

» Ransomware
O que Ă© Ransomware? Exemplos e tendĂȘncias de ransomware em 2025 | Gridinsoft

O que Ă© Ransomware?

July 27, 2024

É provavelmente o pior pesadelo descobrir que os arquivos em seu PC estĂŁo criptografados. VocĂȘ estava verificando sua caixa de correio e clicando nos arquivos anexados para ver o que eles continham. O arquivo estranho, que nĂŁo tinha nada alĂ©m de permitir macros, nĂŁo parecia suspeito. Mas de repente, menos de 15 minutos depois de abrir esse documento, vocĂȘ vĂȘ que todos os arquivos em seu PC tĂȘm extensĂ”es estranhas e pelo menos um arquivo readme.txt estĂĄ dentro de cada pasta. Como isso aconteceu?

A definição curta de ransomware estĂĄ escondida em seu nome, assim como em muitos outros vĂ­rus. “Ransom software” Ă© um programa que injeta em seu computador, criptografa seus arquivos e, em seguida, pede que vocĂȘ pague o resgate para recuperar seus arquivos. Alguns exemplos de ransomware podem ameaçar suas vĂ­timas de excluir seus arquivos ou publicar alguns de seus dados confidenciais se vocĂȘ nĂŁo pagar o resgate. Embora o primeiro perigo seja 100% mentira, a segunda tese pode ser real, pois o ransomware geralmente Ă© espalhado com spyware ou ladrĂ”es.

VĂĄrios exemplos de ransomware usam diferentes mĂ©todos de criptografia. Os princĂ­pios de criptografia AES-256 e RSA-1024 sĂŁo usados ​​na maioria dos casos, mas Ă s vezes vocĂȘ pode atender aos padrĂ”es usando RSA-2048. O nĂșmero no final significa principalmente o grau que vocĂȘ precisa trazer dois para obter o nĂșmero de chaves possĂ­veis. Mesmo no caso do AES-256, o nĂșmero de chaves Ă© um nĂșmero de 78 dĂ­gitos. VocĂȘ pode usar força bruta? Talvez, se vocĂȘ tiver 2 milhĂ”es de anos sobrando. Ou um PC quĂąntico com desempenho muito melhor do que qualquer outro atualmente existente. ~ Equipe Gridinsoft

Para cada vĂ­tima, o ransomware gera uma chave online exclusiva. Essa chave Ă© armazenada no servidor mantido por criminosos cibernĂ©ticos. Se o vĂ­rus nĂŁo conseguir se conectar a esse servidor, ele criptografa os arquivos com a chave offline, que Ă© armazenada localmente na mĂĄquina criptografada. A quantidade de chaves offline Ă© limitada. Portanto, vocĂȘ tem uma chave de descriptografia em comum com vĂĄrias outras vĂ­timas.

Infelizmente, nĂŁo hĂĄ 100% de garantia de recuperar seus arquivos. Se vocĂȘ tiver sorte e o ransomware usar a chave offline, poderĂĄ descriptografar seus dados muito mais rĂĄpido. No entanto, obter as chaves Ă© bastante longo e vocĂȘ pode ter que esperar vĂĄrias semanas. O aplicativo de descriptografia, que deve ser usado para descriptografia de arquivos, receberĂĄ a atualização com a chave adequada para vocĂȘ assim que os analistas a encontrarem.

As chaves online sĂŁo muito mais difĂ­ceis de resolver. Como cada chave Ă© Ășnica, vocĂȘ pode esperar meses. Os distribuidores de ransomware provavelmente serĂŁo pegos e forçados a descobrir todas as chaves que possuem nos servidores. Outro caso em que todas as chaves sĂŁo liberadas ao pĂșblico Ă© quando os criadores de ransomware decidem encerrar suas atividades maliciosas. Tal situação ocorreu apenas uma vez - em 2018, quando os desenvolvedores do GandCrab alegaram que ganharam 2 bilhĂ”es de dĂłlares e suspenderam suas atividades.

Read also: Lucky Ransomware (MedusaLocker)

EstĂĄgios de ataque de ransomware

A maioria dos analistas define seis estĂĄgios principais de um ataque de ransomware. Eles podem acontecer durante um Ășnico dia e dentro de um mĂȘs. No entanto, a ordem, bem como o sentido desses passos, permanece sempre o mesmo.

Compromisso. Às vezes, tambĂ©m Ă© chamado de injeção inicial. Nesse ponto, os invasores injetam o malware na rede (ou no dispositivo, se for um ataque contra o usuĂĄrio individual). O comprometimento geralmente Ă© feito por meio de violaçÔes de RDP, spam de e-mail ou uso de software nĂŁo licenciado.

Infecção. Nesse estĂĄgio, os criminosos usam a presença inicial na rede que ganharam para injetar a carga maliciosa. Eles raramente usam downloads diretos - Ă© fĂĄcil detectar e prevenir com soluçÔes de segurança. É por isso que o download de malware geralmente explora os erros do Windows e do software de aplicativos. No entanto, pode atĂ© preferir o download direto quando atinge a rede desprotegida ou um Ășnico usuĂĄrio.

Escalonamento. Todo malware depende da execução com privilégios de administrador. Essa propriedade possibilita diminuir o risco de malware usando a conta com privilégios de usuårio. No entanto, mesmo nesse caso, os cibercriminosos podem encontrar um caminho. A maioria dos estågios de escalonamento em redes corporativas é feita por meio da exploração de vulnerabilidades, principalmente aquelas que escalonam privilégios.

Verificar. Essa etapa supĂ”e a verificação da(s) mĂĄquina(s) infectada(s) para detectar todos os arquivos que o ransomware pode criptografar. Normalmente, o ransomware pega os formatos de dados mais sensĂ­veis - aqueles que pertencem a arquivos, imagens e mĂșsicas do MS Office. No entanto, alguns agem de forma diferente e cifram o que alcançam, apesar dos arquivos que podem prejudicar a funcionalidade dos programas.

Criptografia. A criptografia pode levar minutos ou horas, dependendo do nĂșmero de arquivos nas mĂĄquinas atacadas e da qualidade do software de codificação. O grupo LockBit, por exemplo, Ă© conhecido por ter a criptografia mais rĂĄpida - leva apenas 5 minutos para criptografar 100 GB de dados.

Dia de pagamento. Quando a criptografia termina, o malware notifica a vĂ­tima sobre o ataque. Geralmente gera um arquivo de nota de resgate na ĂĄrea de trabalho e em cada pasta com arquivos criptografados. Opcionalmente, tambĂ©m pode alterar o papel de parede da ĂĄrea de trabalho para a nota de resgate. Nos casos mais extremos (como o Petya ransomware), o malware infectarĂĄ o carregador de inicialização e mostrarĂĄ o banner da nota de resgate quando vocĂȘ pressionar o botĂŁo liga/desliga em vez do carregamento do sistema operacional.

Ransomware Attack Stages
Ataque Ransomware Etapas

Tipos de ransomware

Existem vĂĄrios tipos de ransomware atualmente. Todos os usuĂĄrios da comunidade de segurança cibernĂ©tica estĂŁo acostumados com o tipo de ransomware chamado crypto. Esse Ă© precisamente o vĂ­rus sobre o qual vocĂȘ pode ler acima. Outro tipo de ransomware estava ativo muito antes, antes de 2014. Chamava-se ransomware de armĂĄrio. Como vocĂȘ pode entender pelo nome, esse vĂ­rus estava bloqueando seu sistema, pedindo um resgate pelo desbloqueio da ĂĄrea de trabalho. Deixe-me mostrar a diferença crĂ­tica entre locker e crypto-ransomware:

Ransomware de armĂĄrio:

  • Bloqueia sua ĂĄrea de trabalho;
  • Cobre a ĂĄrea de trabalho com um banner de nota de resgate;
  • Modifica as chaves de registro responsĂĄveis ​​pelo trabalho do Windows Explorer;
  • Suspende o processo explorer.exe;
  • Bloqueia a maioria das combinaçÔes do sistema (Ctrl+Alt+Del, Ctrl+Shift+Esc);
  • Algumas versĂ”es podem infectar o BIOS, impossibilitando o carregamento do sistema;
  • Às vezes, pode ser facilmente removido apĂłs manipulaçÔes complicadas com funçÔes do sistema;
  • Pedir que vocĂȘ pague um resgate como recarga de nĂșmero de celular, bem como atravĂ©s do sistema de pagamento online (PayPal, WebMoney, Qiwi, etc.);

Ransomware de criptografia:

  • Criptografa os arquivos das extensĂ”es mais populares (.docx, .png, .jpeg, .gif, .xslx) e adiciona a eles sua extensĂŁo especĂ­fica;
  • Altera as chaves de registro responsĂĄveis ​​pela inicialização dos programas de rede e inicialização;
  • Adiciona um arquivo .txt com as instruçÔes de pagamento do resgate a cada pasta onde os arquivos criptografados estĂŁo localizados;
  • Pode bloquear o acesso a alguns dos sites;
  • Evita o lançamento dos arquivos de instalação do software antimalware;
  • Pode alterar seus papĂ©is de parede em uma nota de resgate;
  • O pagamento do resgate estĂĄ prestes a ser feito apenas com o uso de criptomoedas, principalmente - Bitcoin;

Últimos ataques de ransomware

Lista de famĂ­lias de ransomware, atual para March, 2025:

  • Avaddon ransomware teve uma vida curta, mas bastante ativa: seus desenvolvedores decidiram encerrar suas atividades em maio de 2021
  • STOP Djvu ransomware Ă© uma das famĂ­lias de ransomware mais difundidas. A primeira atividade desse tipo de vĂ­rus foi detectada em 2018 e, ainda assim, sua atividade Ă© muito alta. Sendo direcionado principalmente a usuĂĄrios simples, este ransomware pode ser um exemplo perfeito de um ransomware "clĂĄssico"
  • Conti ransomware. Esse grupo criminoso ataca organizaçÔes onde as interrupçÔes de TI podem ter consequĂȘncias fatais: hospitais, operadoras de emergĂȘncia, serviços mĂ©dicos de emergĂȘncia e agĂȘncias de aplicação da lei
  • Matrix ransomware Ă© um veterano do setor de ransomware, que apareceu em dezembro de 2016
  • MedusaLocker ransomware apareceu em setembro de 2019 e teve um inĂ­cio muito rĂĄpido com ataques a empresas de todo o mundo l>
  • Snatch ransomware usa o truque com o modo de segurança do Windows e serviço privilegiado
  • VoidCrypt ransomware usa vĂĄrios recursos que sĂŁo mais comuns para vĂ­rus corporativos
  • Xorist ransomware usa o construtor de criptografia pode mudar tanto que Ă© difĂ­cil reconhecĂȘ-lo
  • Dharma ransomware surgiu por volta de 2016, esta famĂ­lia de ransomware visa uma pequena empresa. Quase 77% de todos os casos do Dharma estĂŁo relacionados Ă  exploração de vulnerabilidades RDP
  • Egregor ransomware atacou grandes empresas de todo o mundo
  • HiddenTear - Sendo inicialmente criado para fins educacionais
  • LockBit um ransomware extremamente rĂĄpido
  • Magniber ransomware tentando usar uma vulnerabilidade conhecida do PrintNightmare para comprometer as vĂ­timas
  • Makop nĂŁo permanece em um Ășnico algoritmo de criptografia
  • Ryuk Ă© um veterano que possivelmente estĂĄ relacionado a hackers norte-coreanos

Read also: CipherLocker Ransomware

É uma solução para pagar o resgate?

A maioria da renda que os desenvolvedores de ransomware recebem é usada para financiar vårias atividades fora da lei, como terrorismo, outras campanhas de distribuição de malware, tråfico de drogas e assim por diante. Como todos os pagamentos de resgate são feitos em criptomoedas, não hå como descobrir a personalidade dos bandidos. No entanto, os endereços de e-mail às vezes podem indicar distribuidores de ransomware no Oriente Médio.

Como vocĂȘ jĂĄ pode concluir, pagar o resgate equivale a participar de atividades fora da lei. Claro, ninguĂ©m vai culpĂĄ-lo pelo financiamento do terrorismo. Mas nĂŁo hĂĄ nada agradĂĄvel em entender que o dinheiro que vocĂȘ ganha por um trabalho justo Ă© gasto em terrorismo ou drogas. Muitas vezes, mesmo grandes corporaçÔes que sĂŁo chantageadas com ameaças de publicar alguns dados internos nĂŁo estĂŁo pagando um centavo a esses bandidos.

Como posso proteger meu computador contra ransomware?

Geralmente, os programas antimalware atualizam seus bancos de dados de detecção todos os dias. O GridinSoft Anti-Malware pode oferecer atualizaçÔes de hora em hora, o que diminui a chance de uma amostra de ransomware completamente nova se infiltrar no seu sistema. No entanto, fazer uso de software anti-malware nĂŁo Ă© uma panacĂ©ia. Seria melhor se vocĂȘ fosse cuidadoso em todos os lugares de risco. SĂŁo eles:

  • Mensagens de e-mail. A maioria dos casos de ransomware, independentemente da famĂ­lia, estĂĄ relacionada a mensagens de e-mail maliciosas. As pessoas costumavam confiar em todas as mensagens enviadas por e-mail e nĂŁo achavam que algo malicioso pudesse estar dentro do arquivo anexado. Enquanto isso, os ladrĂ”es cibernĂ©ticos usam essa fraqueza e enganam as pessoas para habilitar macros em arquivos do Microsoft Office. Macros Ă© uma aplicação especĂ­fica que permite aumentar a interação com o documento. VocĂȘ pode construir qualquer coisa no Visual Basic e adicionĂĄ-la ao documento como macros. LadrĂ”es, sem pensar mais, adicionam cĂłdigo de ransomware.
  • UtilitĂĄrios duvidosos e programas nĂŁo confiĂĄveis. VocĂȘ pode ver vĂĄrios conselhos enquanto navega na Web. FĂłruns online, redes sociais e redes de semeadura - esses locais sĂŁo conhecidos como fontes de vĂĄrias ferramentas especĂ­ficas. E nĂŁo hĂĄ nada de ruim em tal software - Ă s vezes, as pessoas precisam de funçÔes que nĂŁo sĂŁo exigidas (ou aceitas) para a produção corporativa. Essas ferramentas sĂŁo os chamados keygens para vĂĄrios aplicativos, ativadores de chave de licença (o KMS Activator Ă© um dos mais conhecidos) e utilitĂĄrios para ajuste de elementos do sistema. A maioria dos mecanismos antimalware detecta esses aplicativos como maliciosos, portanto, vocĂȘ provavelmente desativarĂĄ o antivĂ­rus ou adicionarĂĄ o aplicativo Ă  lista de permissĂ”es. Enquanto isso, esse utilitĂĄrio pode estar limpo ou infectado por trojans ou ransomware.

Uma linha do tempo dos maiores ataques de ransomware:

Proteja-se contra ransomware com Gridinsoft Antimalware, o melhor Anti-Ransomware disponível. Recupere o controle de sua privacidade com um scanner, detector e removedor ransomware ultrarrápido e leve — e 100% eficaz.

Baixar Anti-Ransomware