Blog AVG Signal Segurança Ransomware O que é ransomware: O guia definitivo
What_is_Ransomware-Guide_to_Protection_and_Removal-Hero

O que é ransomware?

Ransomware é um tipo de software maligno que criptografa arquivos no computador ou bloqueia o dispositivo e depois exige um resgate em troca da descriptografia. Os hackers geralmente exigem um resgate em bitcoin ou outra criptomoeda, e não há garantia de que o pagamento fará com que seus arquivos sejam descriptografados.

Este artigo contém:

    O primeiro ataque de ransomware registrado ocorreu em 1989, quando o biólogo evolucionista Joseph Popp infectou disquetes com o cavalo de Troia AIDS e os distribuiu para colegas pesquisadores. O malware não era executado imediatamente, mas aguardava até que as vítimas reiniciassem seus PCs 90 vezes. Finalmente, ele criptografava todos os arquivos do sistema e solicitava que os usuários pagassem US$ 189 para desfazer o dano. Felizmente, especialistas criaram ferramentas para remover o malware e descriptografar os arquivos infectados.

    Nos últimos anos, os ataques de ransomware aumentaram astronomicamente. Hospitais, governos e grandes corporações foram atingidos por ataques de ransomware em grande escala que os forçaram a escolher entre pagar milhares de dólares em resgate a cibercriminosos ou absorver milhões em custos de recuperação.

    Mas, ransomware é um vírus? Não, ele é um tipo diferente de software maligno. Vírus infectam arquivos ou softwares e têm a capacidade de se autorreplicar. O ransomware embaralha os arquivos para torná-los inutilizáveis e depois exige um pagamento. Ransomware e vírus ser removidos por um antivírus, mas se seus arquivos estiverem criptografados, é improvável que eles sejam recuperados.

    Tipos de ransomware

    Existem ransomwares de todos os tipos. Algumas variações são mais prejudiciais que outras, mas todos têm algo em comum: ransomware, por definição, exige um pagamento.

    icon_01Crypto malware ou criptografadores

    Crypto malwareou criptografador é o tipo mais comum de ransomware e pode causar muito prejuízo com métodos de criptografia de dados muito poderosos. Além de extorquir mais de US$ 50.000 das vítimas e causar centenas de milhões em danos adicionais, o WannaCry colocou milhares de vidas em risco quando atingiu hospitais em todo o mundo e impediu que os funcionários de saúde acessassem os arquivos dos pacientes.

    icon_02Bloqueadores

    Bloqueadores infectam o sistema operacional para impedir completamente o uso do computador e impossibilitar o acesso a qualquer aplicativo ou arquivo.

    icon_03Scareware

    Scareware é um software falso (como antivírus ou ferramenta de limpeza falsa) que diz ter encontrado problemas no PC e que exige um pagamento para repará-los. Algumas variedades de scareware bloqueiam o computador enquanto outras inundam a tela com alertas e pop-ups irritantes.

    icon_04Doxware

    Doxware (ou leakware) ameaça publicar informações roubadas online se um pagamento não for efetuado. Todos nós armazenamos arquivos sensíveis nos nossos PCs, desde contratos e documentos pessoais até fotos constrangedoras. Por isso, é fácil ver porque isso causa pânico.

    icon_05Ransomware como serviço

    RaaS (Ransomware como serviço) é um malware hospedado anonimamente por um cibercriminoso que cuida de tudo (da distribuição do ransomware, coleta de pagamentos, gerenciamento de descriptografadores) em troca de uma parte do resgate.

    icon_06Ransomware para Android

    Os dispositivos móveis Android não estão em segurança contra ransomware. O ransomware para Android provavelmente é um bloqueador, que impede você de acessar seu dispositivo pela interface do usuário ou por um pop-up que não desaparece. O ransomware para Android apareceu nas notícias em 2016, triplicou em 2017 e nunca parou de aumentar.

    Há até mesmo um imitador do WannaCry, o WannaLocker, que se espalha em fóruns de jogos e que visa dispositivos Android na China. Como os dados podem ser facilmente restaurados pela sincronização de dispositivos, os cibercriminosos preferem bloquear o smartphone em vez de apenas criptografar arquivos.

    icon_07Ransomware para Mac

    Embora os dispositivos da Apple sejam um pouco mais resistentes a malware do que os PCs Windows, o ransomware para Mac também está em ascensão.

    Os primeiros exemplos de ransomware para Mac não eram exatamente programados como ransomware. Havia um esquema falso de resgate do FBI que, na verdade, era um sequestrador de navegador disfarçado de ransomware. Depois, apareceu o ataque Oleg Pliss, no qual o hacker usou senhas vazadas do iCloud para bloquear remotamente dispositivos iOS das vítimas por meio do Find My iPhone e exigir um resgate para desbloqueá-los. Esses ataques de resgate preparam o terreno para o verdadeiro ransomware para Mac.

    O malware mais recente que afeta Macs parece ter sido programado por engenheiros de software especializados em macOS. Enquanto alguns cibercriminosos ainda ataquem contas do iCloud, outro ransomware para Mac, como o KeRanger, evoluiu de forma mais semelhante ao ransomware do Windows.

    As linhagens e ataques mais conhecidos de ransomware

    Com dezenas de kits de ferramentas de malware disponíveis no mercado negro na internet, os hackers têm uma base sólida para aproveitar. Ataques recentes mostraram que os cibercriminosos trabalham duro para melhorar o código, adicionando recursos que dificultam a detecção e ajustando detalhadamente e-mails malignos para parecerem mais legítimos.

    Embora quase qualquer pessoa possa lançar a própria linhagem de ransomware, alguns criadores de ransomware desenvolveram variantes massivas que abalaram o cenário de segurança cibernética e se tornaram conhecidas em todo o mundo. Vamos examinar em detalhes algumas das linhagens e ataques mais conhecidos de ransomware.

    WannaCry

    Após infectar mais de 10.000 organizações e 200.000 pessoas em mais de 150 países, a linhagem WannaCry ganhou sua reputação de ataque de ransomware mais amplo até o momento. Ele usou um exploit conhecido como EternalBlue, que aproveita uma vulnerabilidade do SMB (Server Message Block, um protocolo de compartilhamento de arquivos de rede) do Windows, intitulada MS17-010. Quando foi desativado, o WannaCry havia atacado mais de 100 milhões de usuários do Windows.

    A nota do ransomware WannaCry em um computador infectado.A nota do ransomware do WannaCry. (fonte: Wikimedia Commons)

    Petya

    O ataque do ransomware Petya (e linhagens similares chamadas de Petna, NotPetya, EternalPetya ou Nyetya) assustou a todos, mas foi bem menos danoso que o WannaCry. O Petna fez vítimas principalmente na Ucrânia (mais de 90% dos ataques), mas vimos também tentativas nos Estados Unidos, Rússia, Lituânia, Bielorrússia, Bélgica e Brasil.

    Locky

    Visto pela primeira vez em fevereiro de 2016, dizem que o Locky foi enviado a milhões de usuários em todo o mundo através de um golpe de e-mail que dizia ser uma fatura ou recibo de pedido. Os e-mails continham um documento do Word ilegível e solicitava que os usuários ativassem macros para exibir seu conteúdo antes de baixar o malware. A cada ataque, os autores do Locky melhoraram o código para dificultar sua detecção no computador.

    Ransomware Cerber

    O malware surgiu como um kit de ferramentas, disponível gratuitamente a todos para ser baixado, instalado e disseminado. Ele é distribuído por meio de um anexo de e-mail ou do link de cancelamento de inscrição em um e-mail de spam, que redireciona as vítimas para o mesmo anexo. Ele pode agir mesmo se você estiver offline e criptografar mais de 400 tipos de arquivos, inclusive arquivos de banco de dados.

    Fraudes de ransomware relacionados à COVID-19

    O surgimento generalizado da pandemia da COVID-19 em 2020 causou um aumento de cibercriminosos impiedosos que aproveitaram a atmosfera de medo. Houve muitos golpes relacionados a máscaras e vacinas, e inúmeros hospitais foram vítimas de ransomware, apesar da tensão que já enfrentavam devido à pandemia.

    Outras linhagens bem conhecidas incluem Bad Rabbit, Cryptolocker, GoldenEye, Jigsaw, Maze e Ryuk. Como os hackers continuam a melhorar esses código, algumas variantes podem reaparecer em algum momento.

    Como prevenir o ransomware

    A melhor maneira de evitar ransomware e outros malwares é praticar hábitos digitais inteligentes. Isso significa evitar spam, sites, links e anexos suspeitos e praticar uma boa segurança de e-mail. Veja mais algumas dicas para ajudar você a se proteger contra ransomware:

    Fazer backup de seus arquivos importantes

    Faça backup de arquivos importantes ou clone todo o disco rígido para salvar tudo. Você pode usar uma unidade externa, um serviço de nuvem ou ambos. Escolha entre Dropbox, Google Drive, Mega ou outro serviço de nuvem gratuito para armazenar com segurança documentos e fotos importantes. Encontre um serviço que permita reverter os dados para uma versão anterior caso algo aconteça com sua conta.

    Se os cibercriminosos bloquearem arquivos importantes, mas você tiver um backup armazenado com segurança, eles não terão qualquer vantagem. Você pode simplesmente remover o ransomware, restaurar os arquivos e ignorar qualquer pedido de resgate.

    Fazer backup dos seus arquivos torna os ataques de ransomware inofensivos.Fazer backup dos seus arquivos torna os ataques de ransomware inofensivos.

    Usar um antivírus atualizado

    Software antivírus oferece proteção essencial contra tudo que quiser prejudicar seu computador. Experimente o AVG AntiVirus FREE para proteção 24 horas contra ransomware e todos os outros tipos de malware. O AVG Internet Security também oferece uma defesa ainda maior contra ransomware com seu poderoso recurso de proteção avançada contra esse tipo de malware.

    Consulte nosso guia de prevenção de ransomware para configurar sua proteção no AVG AntiVirus FREE.

    Atualizar o sistema operacional

    As atualizações de segurança são vitais para a segurança do computador. Softwares desatualizados tornam você mais vulnerável a todos os tipos de malware, incluindo ransomwares como o WannaCry. Mantenha sempre o sistema operacional e os aplicativos atualizados. Use a atualização automática sempre que possível e, caso contrário, instale as atualizações assim que estiverem disponíveis.

    Você é alvo de ransomware?

    Se você não se proteger contra ransomware com software atualizado e uma ferramenta anti-ransomware confiável, poderá ser alvo de ransomware. O ransomware geralmente é projetado para aproveitar as brechas de segurança em softwares mais antigos e dispositivos não seguros.

    Por exemplo, o WannaCry aproveitou uma vulnerabilidade do Windows para infectar mais de 200.000 pessoas, além de 10.000 empresas, autoridades públicas e organizações em todo o mundo. Todos aqueles que não instalaram as correções de segurança da Microsoft lançadas no início daquele ano estavam vulneráveis.

    O usuários do Windows XP foram os mais atingidos: Há três anos, a Microsoft encerrou o suporte para essa versão do Windows e se sentiu motivada a lançar uma correção para ela bem só depois que o ataque tinha se tornado grave. Se você ainda estiver usando o Windows XP, recomendamos atualizar o sistema operacional.

    Embora instalar as atualizações de segurança seja geralmente rápido e fácil para usuários comuns, grandes empresas são muito mais vulneráveis. Elas geralmente usam software personalizado sensível e precisam implantar as correções em um grande número de dispositivos, tornando o processo de atualização muito mais difícil e demorado.

    Algumas organizações também não têm fundos para adquirir novos softwares. Espera-se que os orçamentos dos hospitais salvem vidas e não computadores, embora isso signifique a mesma coisa, quando os sistemas são invadidos e as equipes do hospital são impedidas de acessar os registros de pacientes.

    O crime cibernético é a preocupação principal das organizações que trabalham com dados sigilosos, mas isso não significa que os usuários comuns de PC estejam a salvo: as fotos de família e arquivos pessoais têm o mesmo valor para os cibercriminosos.

    Como o ransomware infecta seu PC

    O ransomware pode entrar no computador por meio de anexos de e-mail, anúncios ou links maliciosos; downloads drive-by; e explorações de vulnerabilidades de segurança. Depois de infectar o PC, algumas cepas de ransomware podem se espalhar para os contatos da vítima e infectá-los, depois para os contatos dos contatos e assim sucessivamente.

    Ransomware se espalha rapidamente e tem um grande impacto. Ele entra em seu computador das seguintes maneiras:

    • Engenharia social: Um termo chique que significa enganar as pessoas, a engenharia social é frequentemente usada para fazer com que elas baixem malware de um anexo ou link falso. Arquivos malignos são frequentemente disfarçados de documentos comuns (confirmações de compra, recibos, contas, notificações) e parecem ter sido enviados por uma empresa ou instituição de boa reputação. Ao fazer o download de um deles no seu computador e abri-lo, você será infectado com ransomware.

    • Malvertising: A publicidade maliciosa incorpora ransomware, spyware, vírus e outros itens desagradáveis em anúncios e redes de publicidade. Os hackers até compram espaço publicitário em sites populares (como redes de mídia social ou YouTube) para espalhar ransomware.

    • Kits de exploit: Os cibercriminosos podem empacotar código pré-escrito em uma ferramenta de hacking pronta para uso. Esses kits são projetados para explorar vulnerabilidades e falhas de segurança causadas por software desatualizado.

    • Downloads automáticos: Alguns sites malignos aproveitam navegadores ou aplicativos desatualizados e baixam discretamente malware em segundo plano, enquanto você está navegando em um site ou assistindo a um vídeo que parece inocente.

    Como o ransomware funciona

    O ransomware trabalha para impedir que você acesse os seus dados. Depois de obter acesso ao computador, ele criptografa os arquivos silenciosamente e exige um pagamento de resgate em troca da devolução do acesso aos dados criptografados. Nesse ponto, é tarde demais para recuperar os arquivos, pois eles já foram criptografados.

    Como um ataque de ransomware acontece

    Ataques de ransomware seguem padrões de ataque distintos. Primeiro, o malware precisa entrar no seu computador. Depois, ele começa a criptografar os dados. Finalmente, ele revela a presença com a exigência de um resgate.

    Veja como os ataques de ransomware acontecem:

    Etapa 1: Infecção do dispositivo

    Um ataque de ransomware pode começar com um e-mail que parece inocente, supostamente enviado de uma fonte legítima, solicitando que você baixe uma fatura ou outro documento importante. Os hackers geralmente disfarçam a extensão verdadeira do arquivo para fazer com que as vítimas pensem que é uma planilha PDF, DOC ou Excel, mas na verdade é um arquivo executável que começa a ser executado em segundo plano quando você clica nele.

    Etapa 2: Criptografia dos dados

    Por algum tempo, nada de especial acontece. Seus arquivos ainda podem ser acessados e tudo funciona bem, aparentemente. Mas o malware está entrando em contato discretamente com o servidor do cibercriminoso, gerando um par de chaves: uma pública para criptografar seus arquivos e uma privada, armazenada no servidor do hacker, usada para decodificá-los.

    Assim que o ransomware ataca seu disco rígido, você não tem muito tempo para salvar seus dados. A partir desse ponto, ele não mais precisa de nenhuma ação sua. O ransomware simplesmente começa a funcionar e criptografar seus arquivos e se revela apenas quando o estrago está feito.

    Etapa 3: A nota de resgate

    Uma nota de resgate surge em sua tela, dizendo quanto você precisa pagar e como transferir o dinheiro. Assim que o relógio começa a correr, você geralmente terá alguns dias para pagar o resgate e o preço aumenta se o prazo não for cumprido.

    Exemplo de uma nota de resgate do ransomware CrytoLocker.Exemplo de uma nota de resgate do ransomware CrytoLocker.

    Não será possível abrir seus arquivos criptografados e caso você tente, verá uma mensagem de erro que diz que seu arquivo não pode ser carregado, que está corrompido ou é inválido.

    Como remover ransomware

    A menos que esteja impedido de entrar em seu PC, excluir ransomware é muito simples. De fato, é igual a remover um vírus ou qualquer outro tipo comum de malware. Mas remover o ransomware não descriptografará os arquivos.

    Remover ransomware se parece com remover outros softwares maliciosos: baixe um software antivírus confiável, faça um escaneamento para identificar o ransomware e, em seguida, coloque em quarentena ou exclua o malware. (Embora seja complicado, você também pode remover todos os tipos de malware manualmente.)

    A situação se complica se seu PC estiver infectado com um bloqueador que evita que você entre no Windows ou execute qualquer programa. Há três maneiras de corrigir uma infecção por bloqueador:

    • Fazer uma Restauração do Sistema para restaurar o Windows a um ponto no tempo em que o PC estava seguro.

    • Executar um programa antivírus de um disco inicializável ou unidade externa.

    • Reinstalar o sistema operacional.

    Uma ferramenta antivírus confiável, como o AVG AntiVirus FREE, não só removerá o ransomware e outros malwares assim que forem detectados no sistema, como também impedirá que essas infecções aconteçam.

    Restauração do sistema no Windows 10, 8.1 ou 8:

    1. Ligue seu PC e mantenha a tecla Shift pressionada para entrar nas telas de recuperação (reinicie se isso não funcionar)

    2. Selecione Solucionar problemas.

    3. Acesse Opções avançadas.

    4. Clique em Restauração do Sistema.

    Restauração do sistema no Windows 7:

    1. Ligue seu PC e pressione F8 para entrar no menu Opções de Inicialização Avançadas

    2. Selecione Reparar o seu computador e pressione Enter.

    3. Entre com o nome e a senha da sua conta do Windows (ou deixe o campo em branco se não tiver uma).

    4. Clique em Restauração do Sistema.

    Como recuperar seus arquivos

    Se você faz backup dos dados regularmente, não precisa se preocupar muito com a recuperação de ransomware. Basta excluir o ransomware e depois restaurar os arquivos do backup.

    Se você não fez nenhum backup, poderá estar sem sorte. Às vezes, é possível quebrar a criptografia de 32 e 64 bits, então você pode ter sorte se for isso que os cibercriminosos usaram. Além disso, os pesquisadores de segurança cibernética conseguiram quebrar algumas linhagens de ransomware e replicar as chaves de descriptografia que elas usavam.

    A prevenção, com um antivírus e backups regulares dos seus dados, é a melhor maneira de se proteger contra ataques de ransomware.

    Nossas ferramentas gratuitas de descriptografia de ransomware ajudarão a recuperar arquivos infectados com as linhagens Apocalypse, BadBlock, Bart, Crypt888, Legion, SZFLocker, TeslaCrypt e outras.

    Mas, atualmente, muitos dos tipos de ransomware, incluindo os famosos WannaCry, Locky ou Cerber, usa criptografia de 128-bit ou 256-bit (e, às vezes, uma combinação de ambos). Esse nível complexo de criptografia também é usado por servidores, navegadores e VPNs para proteger seus dados, pois é muito seguro.

    Se seus arquivos estiverem infectados com uma variante de ransomware que usa um desses métodos de criptografia altamente seguros, a recuperação será quase impossível. Por isso, a prevenção, com um antivírus e backups regulares dos seus dados, é a melhor maneira de se proteger contra ataques de ransomware.

    Devo pagar o resgate?

    Nosso conselho é não pague o resgate. Lembre-se de que você está lidando com cibercriminosos e não há garantia de que eles cumprirão a promessa que fizeram. O pagamento de resgate confirma para os hackers que o ransomware é um negócio lucrativo e serve como incentivo a continuar usando o ransomware e financiar outros crimes cibernéticos.

    Em alguns casos, o ransomware não pode ser realmente descriptografado. Esse era o caso do Petya: o algoritmo de criptografia do ransomware era irreversível. Embora os profissionais de segurança cibernética geralmente recomendem não pagar o resgate, nem todos ouvem esse conselho. As empresas que enfrentam custos de recuperação ainda maiores se não pagarem, às vezes cedem.

    Em junho de 2017, a empresa de hospedagem web sul-coreana Nayana pagou 397,6 bitcoin (aproximadamente US$ 1 milhão na época) após um ataque do ransomware Erebus. Na época, foi o maior resgate já pago.

    Apenas quatro anos depois, em junho de 2021, o fornecedor de carne JBS pagou o equivalente a US$ 11 milhões em um pedido de resgate. O FBI acusou o grupo de hacking de falantes de russo REvil, alguns dos hackers mais perigosos do mundo.

    Também em 2021, o notório grupo de hackers DarkSide lançou um ataque de ransomware contra a Colonial Pipeline Co., que administra um gasoduto que transporta quase metade do combustível usado na costa leste dos EUA. Em vez de lidar com a dor de cabeça de reconstruir seus sistemas, a Colonial optou por pagar o resgate de quase US$ 5 milhões.

    O grande aumento nas exigências de resgate mostra que os hackers não vão parar tão cedo, e que o ransomware está cada vez mais perigoso.

    Evitar ransomware com software de segurança cibernética

    Então, você deve pagar o resgate? Nossa resposta é não. Em vez disso, baixe um bom antivírus com proteção gratuita contra ransomware, para que você nunca precise se preocupar com resgates. O AVG AntiVirus FREE protege contra ransomware, vírus, phishing e todos os outros tipos de ameaças digitais.

    Proteja seu iPhone contra ransomwares com o AVG Mobile Security

    Instalação gratuita

    Bloqueie ransomwares e outras ameaças com o AVG AntiVirus

    Instalação gratuita