Ransomware

Proteja a sua empresa desta ameaça digital.

O que é ransomware

Ransomware é um tipo de software malicioso (malware) que impede os utilizadores de acederem aos dispositivos ou arquivos infectados a menos que seja pago um resgate.

Afeta computadores pessoais (desktops, notebooks), servidores e outros dispositivos, como tablets e smartphones. Embora a maioria das infecções se registem em sistemas Windows, existem versões que afetam sistemas macOS, iOS, Linux e Android.

Como funciona o ransomware

Um ataque de ransomware divide-se em três fases: infecção, sequestro e extorsão. Quando bem-sucedido, é rápido, podendo demorar apenas alguns minutos desde o início da infecção até à perda de acesso ao sistema/arquivos e consequente pedido de resgate.

CryptoLocker, TorrentLocker, CryptoWall, Fusob, UltraCrypter e Locky são alguns dos nomes mais conhecidos de ransomware.

Infecção por ransomware

A infecção por ransomware depende da execução de código malicioso. Para que isso aconteça, os atacantes recorrem a diversas estratégias. As mais comuns são o envio de mensagens de email com anexos maliciosos, atualizações de software falsas, exploração de falhas de segurança em versões antigas de software e sistemas operativos desatualizados.

Sequestro digital

As versões mais recentes de ransomware, denominadas cripto-ransomware, atuam de duas formas: bloqueiam o sistema infectado (blockers), tornando-o inutilizável, ou cifram ficheiros (cryptors), impossibilitando a sua abertura ou execução.

O ransomware recorre a métodos criptográficos eficientes para bloquear o sistema ou o acesso a documentos, apresentações, imagens, músicas e vídeos, entre outros tipos de ficheiros mais comuns. Na maioria dos casos de ransomware, é impossível restaurar o acesso aos ficheiros infectados sem a chave que apenas os atacantes possuem.

Quando infetado por ransomware, o sistema apresenta uma mensagem (surgindo uma nova janela ou alterando o fundo do ambiente de trabalho) com o procedimento a efetuar para pagar o resgate e remover o bloqueio.

Extorsão digital

Quando um computador, servidor ou outro dispositivo é infetado, é exigido o pagamento de um resgate, habitualmente em Bitcoins, para que seja fornecida a senha que permite voltar a ter acesso ao sistema ou ficheiros afetados. Apesar do que os atacantes possam afirmar, não é garantido que o utilizador volte a ter acesso ao sistema ou aos ficheiros.

Como se proteger de ransomware

A prevenção é a forma mais adequada de proteção contra ransomware.
Se suspeita que foi infectado com ransomware, desligue o dispositivo da rede imediatamente.

1. Fazer cópias de segurança (backups) regularmente.Além de ransomware, os sistemas estão expostos a outros tipos de malware (vírus, trojans, spyware, etc.). É importante ter cópias de segurança para poder restaurar ficheiros fácil e rapidamente. É igualmente importante testar os backups para se verificar que estão a ser bem efetuados e que é possível serem restaurados corretamente.
2. Armazenar uma cópia de segurança recente numa unidade onde os ficheiros não possam ser alterados. O ransomware afeta ficheiros que tenham permissão de escrita, incluindo os que estão armazenados em pastas na cloud (Dropbox, Google Drive, One Drive, por exemplo) e unidades externas USB, entre outros suportes. 

3. Utilizar software que permita neutralizar ameaças em tempo real, como bloquear acesso a websites que contêm código malicioso e analisar os downloads efetuados.

4. Não ativar macros em documentos recebidos por email. Os anexos maliciosos são uma das principais fontes de infecção de ransomware. Os atacantes tentam persuadir os utilizadores a ativar as macros para depois serem infectados por ransomware.

5. Não clicar em ligações ou visitar websites provenientes de mensagens de email suspeitas.Habitualmente, os atacantes incentivam os utilizadores a tomar uma ação impulsiva como abrir um documento ou clicar numa ligação que pode resultar em infecção. Para tal, enviam mensagens de correio eletrónico, fazendo-se passar por entidades governamentais (Autoridade Tributária/Finanças, por exemplo), forças de autoridade (PJ, PSP, FBI ou CIA) ou empresas conhecidas (Paypal, Fedex ou DHL). O conteúdo das mensagens é geralmente de caráter urgente e/ou intimidatório, requerendo que o utilizador efetue uma ação imediatamente, como abrir um documento ou visitar um website para resolverem a (falsa) situação. Habitualmente, para efetuar estas ações, o utilizador terá que instalar ou executar algum tipo de software (que depois se revela malicioso).

6. Mostrar extensões de nome de arquivo. Alguns ficheiros que contêm código malicioso adicionam extensões ao nome de ficheiros, fazendo-os parecer extensões inofensivas. Ao ter esta opção ativa, o utilizador poderá visualizar facilmente o tipo de ficheiro que está a tentar abrir (por exemplo: “fatura.pdf” passa a “fatura.pdf.exe”, caso lhe tenham enviado um ficheiro executável).

7. Não utilizar permissões de administrador/root se não for necessário. Um utilizador sem permissões de administrador é suficiente para executar grande parte das tarefas mais habituais num dispositivo. Deste modo, mesmo que o código malicioso seja executado, há possibilidade de não ter as permissões necessárias para fazer alterações prejudiciais ao sistema.

8. Restringir permissões de escrita em servidores de ficheiros sempre que possível.

9. Instalar as atualizações de segurança mais recentes para o sistema operativo e outro software instalado.

10. Educar os utilizadores para a ameaça e definir um procedimento para quando suspeitarem de algum email, pop-up, ficheiro ou programa.

A melhor solução é estar preparado para um ataque de ransomware.

Como remover ransomware

Se foi infectado por ransomware, entre em contacto com especialistas em segurança informática para se aconselhar sobre como proceder.

A recuperação de sistemas ou ficheiros infectados por ransomware é muito improvável caso não se tenham cópias de segurança. Muitas pessoas, em desespero, acabam por pagar o resgate para reaverem os seus ficheiros. No entanto, nada garante que a chave de desencriptação será enviada, que os atacantes não irão exigir mais pagamentos ou que o sistema não tenha sido afetado por mais do que uma versão de ransomware.

A forma mais rápida (e mais económica) de recuperar ficheiros infectados com ransomware é restaurar uma cópia de segurança.

Existem ferramentas gratuitas que ajudam a recuperar os ficheiros cifrados sem ter que se pagar o resgate. Estas ferramentas funcionam apenas em versões conhecidas, para as quais já foi possível criar uma ferramenta de desencriptação (decryption tool). Ainda não existem ferramentas que funcionem em todos os tipos de ransomware.

É essencial que o malware seja removido do sistema antes de restaurar os ficheiros. Caso contrário, o sistema/ficheiros voltarão a ser infectados. Para isso, pode ser utilizado um antivírus ou outro programa de proteção. (Nota: este passo não restaura o acesso aos ficheiros, apenas garante que o sistema está livre do código malicioso que cifra os ficheiros).

“O conselho principal é não pagar o resgate. Ao enviar dinheiro aos cibercriminosos só está a confirmar que o modelo do ransomware funciona, para além de não haver garantia nenhuma que irá recuperar a chave de decifragem necessária para desbloquear os seus ficheiros.”

Proteja os seus arquivos de ransomware

O ransomware é a maior ameaça virtual de 2017 e afeta tanto empresas como indivíduos em grande escala. Não seja vítima de extorsão digital. Proteja os seus arquivos, proteja o seu negócio.

A NFTI é especialista em segurança informática e tem larga experiência na proteção de sistemas e infraestruturas tecnológicas. Entre em contacto para conhecer as soluções de proteção contra ransomware mais eficazes e adequadas ao seu negócio.