Você não está conseguindo acessar os arquivos em seu computador e recebeu uma mensagem exigindo um pagamento em Bitcoin (BTC) ou Monero (XMR) para que eles sejam recuperados? Você provavelmente é vítima de um ransomware.
O que é um ransomware?
Ransomware é um software criminoso que infecta o seu computador e criptografa os seus arquivos para que você não possa mais acessá-los. Em seguida, o ransomware deixa no computador um arquivo com uma mensagem exigindo o pagamento de um “resgate” em criptomoedas. Ao realizar o pagamento dentro do prazo estipulado pelo ransomware, o criminoso fornece uma chave que é utilizada para descriptografar os arquivos da sua máquina, fazendo com que você tenha novamente acesso a esses arquivos.
Os ataques de ransomware estão se tornando cada vez mais frequentes, e, nos últimos meses, já houve relatos de ataques em diversas grandes e pequenas empresas, escolas, universidades, governos, hospitais e departamentos de polícia.
O ransomware é culpa das criptomoedas?
Embora os criminosos exijam um pagamento em criptomoedas, o que permite a existência de um ataque de ransomware são falhas na segurança e desenvolvimentos de softwares e do sistema operacional, falta de treinamento em segurança de informática, falhas na manutenção da rede e negligência na manutenção do sistema operacional e dos softwares instalados nos computadores.
Tenha em mente que as criptomoedas são uma ferramenta neutra, que pode ser usada tanto para o bem quanto para o mal. Assim como ninguém coloca a culpa no dólar ou no real quando um sequestrador cobra um resgate nessas moedas, não é correto dizer que as criptomoedas são culpadas pelos ransomwares. A grande maioria das pessoas que usam Monero o utilizam para fins legais e não apoiam o uso da moeda para fins criminosos.
Como posso ser infectado por um ransomware?
O ransomware geralmente se espalha das seguintes maneiras:
- Uma vulnerabilidade no sistema operacional, como o Windows, ou em um programa instalado no computador é usada para obter acesso ao computador
- Um usuário instala um software indesejado, de maneira não intencional. Isso normalmente se dá através de um ataque de phishing, onde o criminoso envia um e-mail com um uma mensagem que tem como objetivo atrair a curiosidade do usuário. O usuário curioso então abre o arquivo anexado no e-mail ou acessa um link que leva a um site malicioso, instalndo o ransomware no computador.
O que um ransomware faz no meu computador?
Quando o software do ransomware é executado, ele rapidamente criptografa todos os arquivos do computador do usuário e procura outras máquinas vulneráveis na rede para serem infectadas.
Os arquivos geralmente são criptografados usando algoritmos criptográficos de alta segurança, e a única maneira de recuperá-los é através de uma chave (uma espécie de “senha”) que os descriptografa. Para fornecer essa chave, os criminosos exigem em troca um pagamento de “resgate”, geralmente em criptomoedas.
Geralmente os usuários só percebem que o seu computador foi infectado depois de os arquivos terem sido criptografados. Os criminosos costumam deixar arquivos de texto na área de trabalho do computador, para informar a vítima que ela foi infectada e com instruções sobre o pagamento para o resgate.
A comunicação com os criminosos geralmente se dá através de sites na rede de anonimato Tor, que precisam ser acessados através de um navegador que acesse esse tipo de rede, como o Tor Browser.
Mais recentemente, alguns ransomwares estão enviando alguns arquivos dos computadores das vítimas para os criminosos e usando isso como forma de pressão psicológica para que o pagamento seja realizado. Os criminosos avisam a vítima de que estão em posse desses arquivos confidenciais do usuário ou da empresa, ameaçando divulgá-los publicamente ou vendê-los em sites ilegais, caso o pagamento não seja feito.
Como posso me prevenir de um ransomware?
Existem várias medidas que você pode tomar para reduzir as chances de você obter um ransomware no seu computador pessoal ou da sua empresa:
- Utilize apenas software original (licenciado). Não utilize software pirata.
- Certifique-se de que o sistema operacional e os programas instalados no computador estão com as atualizações mais recentes.
- Não baixe ou abra arquivos que possam conter vírus. Evite abrir arquivos executáveis (.exe), arquivos de torrent, anexos de e-mail de pessoas estranhas, arquivos de pendrives de pessoas estranhas.
- Não conecte pendrives de estranhos no seu computador.
- Não deixe estranhos terem acesso aos computadores de sua empresa ou da sua casa.
- Use programas de antivírus.
- Não use a conta de administrador do sistema no dia-a-dia. Reserve-a apenas para atividades que exijam os privilégios de administrador.
- Use senhas fortes.
- Use autentificação de dois fatores (2FA).
- Criptografe arquivos contendo informações sensíveis.
- Faça backups periódicos para ter cópias de segurança dos seus arquivos, caso eles venham a ser criptografados no futuro.
- Salve os dados dos seus backups em um disco que não esteja conectado à sua rede doméstica ou empresarial.
- Sempre teste os backups após realizá-los. Recupere o sistema a partir do backup, para ver se ele está funcionando. Um backup não testado é a mesma coisa que não fazer um backup.
- Eduque e informe os funcionários de sua empresa sobre os riscos e os métodos que são usados pelos criminosos para se infiltrar nos sistemas de empresas.
- Se você não tiver conhecimento técnico para colocar em prática as dicas mencionadas acima, contrate algum especialista em segurança de informática.
Fui vítima de um ransomware. O que eu posso fazer?
Infelizmente, há pouco que você possa fazer para recuperar seus arquivos, caso o seu computador realmente estiver comprometido. Se o invasor tiver utilizado um método de criptografia avançado, será praticamente impossível você recuperar os seus arquivos sem ter a chave que os descriptografa.
1) Acalme-se e não pague a taxa de resgate imediatamente
Não recomendamos que você pague imediatamente a taxa de resgate. O pagamento das recompensas incentiva os criminosos a infectar mais computadores com ataques semelhantes no futuro. Não ceda a pressões psicológicas feitas pelos criminosos.
2) Informe a polícia da sua cidade
Embora esse tipo de crime seja novo, alguns departamentos de polícia possuem setores especializados em crimes cibernéticos. Os policiais podem ajudá-lo na identificação do ransomware utilizado e do método usado para a invasão, assim como na negociação com os criminosos. Também é importante registrar o crime na polícia para fins estatísticos.
Mesmo com todos os recursos da polícia, encontrar os criminosos responsáveis é uma tarefa extremamente difícil. Na maioria das vezes, os criminosos deixam poucos rastros e conectam-se através de redes de anonimato como a rede Tor, uma rede com roteamento em camadas que esconde o endereço IP de origem do computador do criminoso.
3) Pesquise o tipo específico de ransomware que foi utilizado
Comece com uma pesquisa pelo tipo específico de ransomware com o qual seu sistema foi comprometido. Isso pode ser útil, pois em alguns casos os invasores usam ransomwares que utilizam algoritmos de criptografia obsoletos, que podem ser descriptografados através de força bruta. Pesquise na internet e com especialistas de informática se já foi reportado algum caso de invasão em que o ransomware usado na sua máquina foi descriptografado ou desativado.
Mesmo que você encontre uma maneira de descriptografar os seus arquivos, ainda assim você deverá reinstalar o seu sistema operacional e os programas. O invasor pode ter modificado o seu computador de outra maneira, instalando um keylogger ou outra forma de vírus. Além disso, você deve realizar uma investigação interna para tentar descobrir o método que o criminoso usou para invadir seu computador, a fim de evitar novas invasões no futuro.
4) Analise o custo-benefício antes de pagar um resgate
Às vezes formatar e reinstalar os sistemas pode ser mais barato do que pagar o resgate dos arquivos. É importante realizar uma análise do custo-benefício de pagar um resgate. Essa tarefa costuma ser bastante difícil, portanto considere consultar especialistas em informática para ter uma estimativa de custos.
Se os custos forem muito maiores do que o resgate solicitado, talvez a medida mais economicamente racional seja pagar o resgate. Algumas vítimas conseguem um desconto no valor do resgate ao negociarem com o criminoso.
Muitas pessoas acham que os criminosos não irão entregar a chave que descriptografa os arquivos após o pagamento, mas geralmente esse não é o caso. Tenha em mente que os criminosos têm um incentivo financeiro para lhe entregar os arquivos de volta. Se eles não entregarem os arquivos, o ransomware vai ganhar má reputação e nenhuma de suas vítimas no futuro irá querer pagar a recompensa.
Por outro lado, nunca há uma garantia de que os criminosos enviarão a chave que descriptografa os arquivos conforme prometido. Eles podem receber o seu pagamento e desaparecer e, infelizmente, você não poderá fazer nada em relação a isso.
Estão minerando Monero no seu computador?
É possível que você esteja tendo um problema diferente do ransomware. Algumas pessoas notam que seu computador está mais lento do que o habitual, o que pode ser causado por um invasor minerando criptomoedas, uma atividade conhecida como cryptojacking. Nestes casos, o ideal é executar um antivírus, como o Microsoft Security Essentials ou o Microsoft Defender, ou um programa que detecte rastros da mineração de Monero em seu computador, como o RandomX Sniffer.
