Confesso que não sou, normalmente, muito alarmista em relação à maioria dos softwares maliciosos que circulam pelo ciberespaço. Não que desvalorize as ameaças, mas talvez por estar convencido que se seguirmos uma linha de utilização e administração de sistemas responsável (backups, updates, etc) em conjunto com uma política de “least previlege” estamos menos vulneráveis. Para dizer a verdade sou até um pouco cético em relação à competência dos "anti-tudo-e-mais-alguma-coisa" que temos de ter instalados nos nossos computadores.
Esta minha posição pouco alarmada com as comuns "viroses informáticas" muda radicalmente de figura quando falamos de uma variante de código malicioso que designamos por ransomware.
O que é o ransomware?
Um tipo de software malicioso com capacidade de “raptar” os dados do computador infetado utilizando tecnologias de encriptação. Funciona impedindo o acesso aos ficheiros e a certas funções críticas do sistema ou em alguns casos a todo o computador. Para recuperar o acesso aos ficheiros ou ao sistema é exigido à vítima que pague um resgate.
Estes ataques, por terem motivações financeiras, estão no topo das ameaças informáticas da atualidade. Um "cyber criminal" pode com esquemas de ransomware atingir receitas anuais médias de 77000 € com um investimento de apenas 5400 €. Recorrendo a sistemas de afiliados, tipo franchising, a rentabilidade desta atividade pode aumentar para valores milionários.
A razão do meu alarmismo é simples. Ao contrário da maioria das infeções que tenho tido contacto ao longo dos anos, os casos de ransomware por vezes têm finais dramáticos ou diria até mesmo, catastróficos.
Catastróficos ao ponto de, no pior caso que tive conhecimento, perder-se por completo os sistemas de informação da Organização. Tudo. Desde os ficheiros partilhados às bases de dados das aplicações, e-mails e backups. Tudo nas mãos do criminoso que de forma impune exige o pagamento do resgate.
Como posso ser infetado?
As formas de distribuição mais comuns são através de e-mail e web sites comprometidos que exploram vulnerabilidades do sistema. Também conhecemos casos mais criativos de "phishing" que têm início por exemplo com uma mensagem de SMS.
Como funciona o rapto?
Os meus ficheiros foram raptados e agora?
O ransomware pode estar ainda a tentar infetar todas as partilhas de rede que encontra. Mantenha a calma, desligue o computador da rede e peça ajuda a um especialista.
Infelizmente, na maioria dos casos, não é possível desencriptar os dados sem acesso à chave privada que está em posse do atacante, pelo que, a solução mais comum é formatar o computador e repor os dados de um backup anterior ao rapto. Não tem backups ou também foram encriptados? Neste caso a última hipótese poderá mesmo ser o pagamento do resgate, opção que como é evidente não posso aconselhar uma vez que não só estaremos a pactuar com um criminoso, como nada nos garante que após o pagamento vamos realmente obter os nossos dados de volta.
Como não poderia deixar de ser a prevenção é o nosso melhor aliado para evitar situações de risco: Defina e cumpra um plano de backup e arquivo offline, mantenha o computador com as últimas atualizações de segurança, instale um antimalware e caso necessário peça ajuda.
Para informação adicional deixo o link da apresentação da "Ransomware Masterclass" que a Knowledge Inside promove nas Organizações onde se explora em detalhe o tema e espreitamos os painéis de comando do criminoso. Boas férias!
www.knowledgeinside.pt/raptaram-os-meus-ficheiros-e-agora.pdf
