Perigoso para você, mas altamente lucrativo para os hackers, o ransomware é uma das ameaças à segurança mais destrutivas da atualidade. Com o surgimento das variedades de ransomware mais poderosas, é essencial entender como os ataques funcionam e o que você pode fazer para se proteger. Continue lendo para saber como o ransomware funciona, os diferentes tipos e exemplos notáveis de ataques recentes. Em seguida, obtenha uma proteção online avançada para ajudar a combater o ransomware antes que seja tarde demais.
Ransomware é software maligno que criptografa arquivos no computador ou bloqueia o dispositivo e depois exige um resgate em troca da descriptografia. Os ataques de ransomware têm como alvo indivíduos, empresas e órgãos governamentais e podem resultar na perda de dados confidenciais ou informações críticas. O ransomware se espalha por meio de ataques de phishing, sites infectados ou outros métodos de hacking.
Os hackers geralmente exigem um resgate em Bitcoin ou outra criptomoeda, e não há garantia de que o pagamento fará com que seus arquivos sejam descriptografados.
Então o ransomware é um vírus? Não, ele é um tipo diferente de software maligno. Os vírus infectam seus arquivos ou software e se autorreplicam. O ransomware embaralha seus arquivos para torná-los inacessíveis e inutilizáveis e, em seguida, exige o pagamento. Tanto o ransomware quanto os vírus podem ser removidos com um software antivírus forte, mas se os seus arquivos já tiverem sido criptografados, é improvável que você os recupere.
O ransomware trabalha para impedir que você acesse os seus dados. Depois de obter acesso ao computador, ele criptografa os arquivos silenciosamente e exige um pagamento de resgate em troca da devolução do acesso aos dados criptografados. Nesse ponto, é tarde demais para recuperar os arquivos, pois eles já foram criptografados.
Os ataques de ransomware acontecem assim: Primeiro, o malware se infiltra no computador por meio de anexos ou links maliciosos em e-mails de phishing, sites infectados, anúncios falsos, sequestradores de navegador, downloads não solicitados ou pela exploração de uma vulnerabilidade de segurança. Em seguida, uma vez incorporado ao sistema, o ransomware começa a criptografar seus dados. Finalmente, ele revela a presença com a exigência de um resgate.
Depois de infectar seu PC, algumas variedades de ransomware podem se espalhar para seus contatos, depois para os contatos deles e assim por diante, infectando todos ao longo do caminho.
Veja como os ataques de ransomware acontecem:
Ransomware se espalha rapidamente e tem um grande impacto. Aqui estão algumas maneiras pelas quais o ransomware pode infectar seu dispositivo:
Ataques de engenharia social: As técnicas de engenharia social enganam as pessoas para que baixem malware de um anexo ou link falso, supostamente enviado por uma empresa ou instituição respeitável. Ao fazer o download de um deles no seu computador e abri-lo, você será infectado com ransomware.
Malvertising: Publicidade mal-intencionada injeta ransomware, spyware e vírus em anúncios e redes de publicidade. Os hackers até compram espaço publicitário em sites populares (como redes de mídia social ou YouTube) para espalhar ransomware.
Kits de exploit: Os cibercriminosos podem empacotar código pré-escrito em uma ferramenta de hacking pronta para uso. Esses kits são projetados para explorar vulnerabilidades e falhas de segurança causadas por software desatualizado.
Downloads automáticos: Alguns sites mal-intencionados não exigem nem mesmo um clique — eles baixam silenciosamente o malware em segundo plano enquanto você navega em um site que parece inocente.
Por exemplo, você pode receber um e-mail infectado por ransomware que pareça real. Ele solicitará que você faça o download de uma fatura ou outro documento importante, como um arquivo PDF ou Excel.
No entanto, quando você clica nele, ele age como um arquivo .exe. Esses arquivos são reservados para a execução de instalações de software, portanto, eles têm permissão para fazer alterações no computador. Evite executá-los se não tiver certeza da origem. Hackers sofisticados podem fazer com que um arquivo se pareça com um PDF, mesmo que seja realmente um executável.
O ransomware pode infectar seu dispositivo por meio de e-mails de phishing ou anexos maliciosos.
Depois que seu computador for infectado, seus dados serão criptografados para que você não possa mais acessá-los. O malware entra em contato discretamente com o servidor do hacker, gerando um par de chaves: uma pública para criptografar seus arquivos e uma privada, armazenada no servidor do hacker, usada para decodificá-los. Isso também é conhecido como criptografia assimétrica.
Quando o ransomware atinge o disco rígido, é tarde demais para salvar seus dados. O ransomware começa a funcionar e criptografar seus arquivos e se revela apenas quando o estrago está feito.
Normalmente, o ransomware usa criptografia assimétrica em seus arquivos.
Após seus arquivos serem descriptografados, uma nota de resgate surge na tela, dizendo quanto você precisa pagar e como transferir o dinheiro. Assim que o relógio começa a correr, você geralmente terá alguns dias para pagar o resgate e o preço aumenta se o prazo não for cumprido.
Porém, não há garantia de que você receberá os arquivos de volta se pagar o resgate, e também não é certeza que os hackers excluirão os dados. Por esses motivos, você não deve pagar o resgate.
Não pague o resgate após uma infecção por ransomware, pois o pagamento não garante que seus arquivos serão descriptografados.
Não será possível abrir seus arquivos criptografados e caso você tente, verá uma mensagem de erro que diz que o arquivo não pode ser carregado, que está corrompido ou é inválido. Por isso, é bom fazer backup regularmente de todos os seus arquivos importantes caso você seja infectado por ransomware.
Existem ransomwares de todos os tipos. Algumas variações são mais prejudiciais que outras, mas todos têm algo em comum: ransomware, por definição, exige um pagamento.
CryptomalwareCryptomalware ou criptografadores são o tipo mais comum de ransomware. Ele é chamado de crypto-ransomware ou cryptomalware, não por cauda da criptomoeda, mas porque os arquivos são criptografados e impossíveis de abrir. Esse tipo de malware pode causar muitos danos, tanto financeiros quanto de outra natureza, usando métodos de criptografia de dados superfortes.
O valor total de dinheiro extorquido somente no primeiro semestre de 2023 foi de cerca de US$ 450 milhões, quase o dobro do valor do primeiro semestre de 2022. Os alvos do criptomalware geralmente são empresas ou instituições de grande porte, com pagamentos médios de resgate superiores a US$ 1 milhão para algumas variedades, como os ransomwares Cl0p e BlackCat. Os usuários geralmente são direcionados a um portal de pagamento em um navegador Tor, como no caso do ransomware SamSam.
Mas o dano não é somente monetário. No final de 2020, o ransomware de criptografia Ryuk colocou milhares de vidas em risco quando atingiu hospitais e impediu que a equipe médica acessasse os arquivos dos pacientes.
BloqueadoresBloqueadores infectam o sistema operacional para impedir completamente o uso do computador e impossibilitar o acesso a qualquer aplicativo ou arquivo. E a sofisticação dos protocolos usados para criptografar o sistema significa que é praticamente impossível recuperá-lo sem a chave de descriptografia correta. Muitas vítimas de malware de bloqueio consideram seriamente a possibilidade de pagar o resgate, mas não é provável que recuperem seus arquivos se o fizerem.
ScarewareScareware é um software falso (como antivírus ou ferramenta de limpeza falsa) que diz ter encontrado problemas no PC e que exige um pagamento para repará-los. Algumas variedades de scareware bloqueiam o computador enquanto outras inundam a tela com alertas e notificações irritantes. Outras vezes, ele deixa o computador mais lento e consome seus recursos.
Mesmo se houver pedido de resgate, esse scareware que exige pagamento pode não ser um ransomware. Ele pode estar apenas enganando você para que faça um pagamento sem realmente causar nenhum dano ao computador. Mas isso não significa que você deva levá-lo menos a sério, pois o malware raramente informa os danos que está causando ao seu computador nos bastidores.
DoxwareDoxware (ou leakware) ameaça publicar informações roubadas online (ou dox) se um pagamento não for efetuado. Todos nós armazenamos arquivos sensíveis nos nossos PCs, desde contratos e documentos pessoais até fotos constrangedoras. Por isso, é fácil ver porque isso causa pânico.
Ransomware como serviçoRaaS (Ransomware como serviço), como MedusaLocker, é um malware hospedado anonimamente por um hacker que cuida de tudo (da distribuição do ransomware, coleta de pagamentos, gerenciamento de descriptografadores) em troca de uma parte do resgate. Agindo como um RaaS, o LockBit foi o grupo de ransomware mais ativo em 2022.
Ransomware para AndroidSeus dispositivos móveis Android também não estão imunes ao ransomware. O ransomware para Android tem maior probabilidade de ser um bloqueador, o qual impede você de acessar seu dispositivo pela interface do usuário ou por um pop-up que não desaparece.
Há até mesmo um imitador do WannaCry, o WannaLocker, que se espalha em fóruns de jogos e que visa dispositivos Android na China. Como os dados podem ser facilmente restaurados pela sincronização de dispositivos, os cibercriminosos preferem bloquear o smartphone em vez de apenas criptografar arquivos.
Com o crescimento do ransomware, ele passou a visar cada vez mais o Windows, tornando o ransomware para Android relativamente raro. Mas não se esqueça de ficar atento a aplicativos suspeitos para Android.
Ransomware para MacEmbora os dispositivos da Apple sejam um pouco mais resistentes a malware do que os PCs Windows, o ransomware para Mac também está em ascensão. O grupo de ransomware LockBit está trabalhando ativamente para quebrar as defesas de segurança do Mac, que, felizmente, ainda estão resistindo. Mas, na segurança cibernética, é mais fácil quebrar um sistema do que defendê-lo. Portanto, é apenas uma questão de tempo.
O primeiro ataque de ransomware registrado ocorreu em 1989, quando o biólogo evolucionista Joseph Popp infectou disquetes com o cavalo de Troia AIDS e os distribuiu para colegas pesquisadores. O malware esperou até que as vítimas inicializassem seus PCs 90 vezes antes de criptografar todos os arquivos do sistema e pedir aos usuários que pagassem US$ 189 para desfazer os danos. Felizmente, especialistas criaram ferramentas para remover o malware e descriptografar os arquivos afetados.
Hospitais, governos e grandes corporações foram atingidos por ataques de ransomware em grande escala que os forçaram a escolher entre pagar milhares de dólares em resgate a cibercriminosos ou absorver milhões em custos de recuperação.
A Rhysida foi criada em 2023 e já atingiu com sucesso 50 organizações. A Rhysida age rapidamente, aproveitando de forma eficiente a CPU da vítima e criptografando apenas partes significativas dos dados visados, e não todos eles. A nota de resgate da Rhysida se posiciona como a "equipe de segurança cibernética" que ajudará a recuperar os dados e evitará que eles vazem.
A Rhysida atacou instituições como a British Library por meio de técnicas de phishing que permitem que os invasores obtenham acesso remoto às informações dos funcionários.
Exemplo da nota de resgate de uma versão recente do ransomware Rhysida. (fonte: decoded.avast.com)
O Clop (às vezes estilizado como "CL0P") é um grupo de ransomware que se aproveitou de uma vulnerabilidade de dia zero no software de transferência de arquivos MOVEit em maio de 2023.
O Clop se espalha por meio de cavalos de Troia de acesso remoto (RATs), coletando informações do sistema e obtendo acesso à rede visada, o que, em última análise, permite o roubo secreto de dados. O Clop também se espalhou por meio de phishing, como você já deve imaginar. Com apenas um clique, até US$ 20 milhões foram perdidos. Segundo informações, ela conseguiu extorquir pagamentos no valor de até US$ 500 milhões.
O ransomware BlackCat utiliza técnicas avançadas de criptografia que operam de forma diferente com base na extensão do arquivo e usam padrões de criptografia para tornar os arquivos inutilizáveis ou inacessíveis com o mínimo de esforço. A atividade atingiu o pico em 2022, mas ainda é uma ameaça hoje em dia. Evite o BlackCat observando e-mails e textos de phishing, melhorando a força de suas senhas e desativando macros no Microsoft Office.
O Ryuk se assemelha às atividades de ataques de ransomware mais antigos, como o WannaCry, com a característica particularmente nefasta de obter o máximo de acesso possível antes de criptografar o que quer que seja. Ele detecta, inclusive, backups de arquivos e prioriza especificamente a criptografia deles. Também disseminado principalmente por meio de phishing, o ransomware Ryuk tem sido usado para atingir hospitais e comprometer o acesso aos registros dos pacientes. Ataques desse tipo ocorreram durante a pandemia do coronavírus e, até mesmo, interromperam tratamentos de quimioterapia para pacientes com câncer.
O CryptoLocker foi um ataque de ransomware no qual várias vítimas relataram ter pago o resgate e não terem recuperado seus dados. Esse ransomware também aumentou o valor do resgate após um determinado prazo, aumentando o incentivo para pagar mais depressa. A empresa holandesa de segurança cibernética Fox-IT conseguiu extrair as chaves e tornar possível a descriptografia, mas vários clones do CryptoLocker surgiram desde então.
Felizmente, a saga do ransomware Hive está terminando, com o fechamento do grupo e a interrupção dos ataques cibernéticos no início de 2023. O fim de suas operações ocorreu quando uma vulnerabilidade foi encontrada em sua ferramenta de criptografia. Mas, somente depois de prejudicar vítimas e instituições em todo o mundo e acumular mais de US$ 120 milhões em pagamentos de resgate.
Após infectar mais de 10.000 organizações e 200.000 pessoas em mais de 150 países, a variedade WannaCry ganhou sua reputação de ataque de ransomware mais amplo até o momento. Ele usou uma exploração conhecida como EternalBlue, que aproveita uma vulnerabilidade do SMB (Server Message Block, um protocolo de compartilhamento de arquivos de rede) do Windows, intitulada MS17-010. Quando foi desativado, o WannaCry havia atacado mais de 100 milhões de usuários do Windows.
Nota de ransomware do WannaCry. (fonte: Wikimedia Commons)
O ataque do ransomware Petya (e variedades semelhantes chamadas de Petna, NotPetya, EternalPetya ou Nyetya) assustou a todos, mas foi bem menos prejudicial do que o WannaCry. O Petna fez vítimas principalmente na Ucrânia (mais de 90% dos ataques), mas vimos também tentativas nos Estados Unidos, Rússia, Lituânia, Bielorrússia, Bélgica e Brasil.
Outras variedades conhecidas de ransomware são o Bad Rabbit, clones do Cryptolocker, GoldenEye, Jigsaw e Maze. Alguns, como o ransomware REvil, foram interrompidos, mas outros estão surgindo o tempo todo.
O ransomware tende a visar organizações e instituições, pois podem exigir um resgate considerável dessas vítimas, geralmente milhões ou dezenas de milhões de dólares. Mas o ransomware pode afetar qualquer pessoa, desde instituições (privadas e públicas) até indivíduos (de alto e baixo perfil), inclusive:
Instituições de saúde, hospitais e farmácias
Universidades, faculdades e outros sistemas educacionais
Empresas de construção
Instituições governamentais, tanto federais quanto locais
Empresas de mídia
Empresas de pequeno e médio porte
Infraestrutura de serviços públicos
Serviços jurídicos
Serviços financeiros
Empresas de manufatura
Pessoas físicas
Se você não se proteger contra ransomware com software atualizado e uma ferramenta anti-ransomware confiável, poderá ser alvo de ransomware. O ransomware é projetado geralmente para aproveitar as brechas de segurança em softwares mais antigos e dispositivos não seguros. Quando o suporte para o Windows 10 terminar oficialmente em 2025, recomendamos enfaticamente que você atualize seu sistema operacional. Caso contrário, poderá correr um risco maior de infecções por ransomware.
Embora instalar as atualizações de segurança seja geralmente rápido e fácil para usuários comuns, grandes empresas são muito mais vulneráveis. Em geral, elas usam software personalizado sensível e precisam implantar as correções em um grande número de dispositivos, tornando o processo de atualização muito mais difícil e demorado.
Algumas organizações também não têm fundos para adquirir novos softwares. Espera-se que os orçamentos dos hospitais salvem vidas e não computadores, embora isso signifique a mesma coisa, quando os sistemas são invadidos e as equipes do hospital são impedidas de acessar os registros de pacientes.
O crime cibernético é a principal preocupação das organizações que trabalham com dados confidenciais, mas isso não significa que os usuários comuns estejam seguros. Suas fotos de família e arquivos pessoais também são valiosos para os hackers e podem ser usados contra você.
A melhor maneira de evitar ransomware e outros malwares é praticar hábitos digitais inteligentes. Isso significa evitar sites, links, anexos e spam suspeitos, além de por em prática uma boa segurança de e-mail. Veja mais algumas dicas para ajudar você a se proteger contra ransomware:
Faça backup de arquivos importantes ou clone todo o disco rígido para salvar tudo. Você pode usar uma unidade externa, um serviço de nuvem ou ambos. Escolha entre Dropbox, Google Drive, Mega ou outro serviço de nuvem gratuito para armazenar com segurança documentos e fotos importantes. Encontre um serviço que permita reverter os dados para uma versão anterior caso algo aconteça com sua conta.
Se os cibercriminosos bloquearem arquivos importantes, mas você tiver um backup armazenado com segurança, eles não terão qualquer vantagem. Você pode simplesmente remover o ransomware, restaurar os arquivos e ignorar qualquer pedido de resgate.
Fazer backup dos seus arquivos torna os ataques de ransomware inofensivos.
Software antivírus oferece proteção essencial contra tudo que quiser prejudicar seu computador. Experimente o AVG AntiVirus FREE para obter proteção 24 horas por dia, 7 dias por semana contra ransomware e outros tipos de malware. O AVG Internet Security também oferece uma defesa ainda maior contra ransomware com seu poderoso recurso de proteção avançada contra esse tipo de malware.
As atualizações de segurança são um componente vital na defesa de seu computador contra ameaças online. Softwares desatualizados tornam você mais vulnerável a todos os tipos de malware, incluindo ransomwares. Mantenha sempre o sistema operacional e os aplicativos atualizados. Use a atualização automática sempre que possível e, caso contrário, instale as atualizações assim que estiverem disponíveis.
A menos que esteja impedido de entrar em seu PC, excluir ransomware é muito simples. De fato, é igual a remover um vírus ou qualquer outro tipo comum de malware. Mas remover o ransomware não descriptografará os arquivos. Observe que alguns dos métodos abaixo podem ajudá-lo a recuperar seu dispositivo, mas apagarão permanentemente todos os dados armazenados nele, criptografados ou não.
Como se livrar do ransomware em diversas plataformas:
Para se livrar do ransomware no Windows, o primeiro passo é desconectar-se da Internet e executar um software anti-ransomware. Se você conseguir colocar o software em quarentena e excluí-lo, poderá ficar ainda mais seguro usando a Restauração do sistema. O Windows cria pontos de restauração periodicamente, dando-lhe opções para voltar a um ponto anterior ao ataque do malware.
A situação se complica se seu PC estiver infectado com um bloqueador que evita que você entre no Windows ou execute qualquer programa.
Há três maneiras de corrigir uma infecção por locker em um PC Windows:
Fazer uma Restauração do sistema para restaurar o Windows a um ponto no tempo em que o PC estava seguro: Ligue seu PC e mantenha a tecla Shift pressionada para entrar nas telas de recuperação. Selecione Solucionar problemas > Opções avançadas > Restauração do sistema.
Executar um programa antivírus de um disco inicializável ou unidade externa.
Reinstalar o sistema operacional.
Para se livrar do ransomware no Mac, é necessário isolar o dispositivo, iniciando o Mac no modo de segurança e executando um software antivírus. Se isso não eliminar o ransomware, sua melhor opção é limpar o disco rígido e restaurar a partir de um backup feito antes de ser infectado. A quantidade de dados que você perderá dependerá do tempo decorrido desde o último backup utilizável realizado.
Para remover o ransomware de um dispositivo Android, primeiro coloque-o em quarentena ativando o modo de voo. Em seguida, desinstale os aplicativos que você não reconhece abrindo as Configurações do dispositivo e abrindo a lista de Aplicativos. Depois de remover qualquer aplicativo desconhecido ou suspeito, execute uma ferramenta antimalware para garantir que a infecção seja completamente removida. Em seguida, você pode iniciar o processo de recuperação do máximo de dados que puder salvar.
A primeira etapa para remover o ransomware de um iPhone é desconectá-lo de todos os outros dispositivos. Desligue-o da tomada e coloque-o no modo avião. Remova os arquivos temporários de navegação e execute um software antivírus. Considere a possibilidade de redefinir o telefone e restaurar a partir de um backup para garantir que o ransomware tenha sido completamente eliminado.
A remoção de um ransomware de qualquer dispositivo é como remover outros softwares maliciosos: baixe um software antivírus confiável, faça um escaneamento para identificar o ransomware e, em seguida, coloque em quarentena ou exclua o malware. Embora seja complicado, você também pode remover malware manualmente.
Uma ferramenta antivírus confiável, como o AVG AntiVirus FREE, não só removerá o ransomware e outros malwares assim que forem detectados no sistema, como também impedirá que essas infecções aconteçam.
Algumas ferramentas gratuitas de descriptografia de ransomware podem ajudá-lo a recuperar arquivos infectados com as variedades de ransomware Babuk, Fonix, HermeticRansom, TargetCompany e outras. Se você faz backup dos dados regularmente, não precisa se preocupar muito com a recuperação após uma infecção por ransomware. Basta excluir o ransomware e depois restaurar os arquivos do backup.
Se você não fez nenhum backup, poderá não ter tanta sorte. Às vezes, é possível quebrar a criptografia de 32 e 64 bits, então você pode ter sorte se for isso que os cibercriminosos usaram. Além disso, os pesquisadores de segurança cibernética conseguiram quebrar algumas linhagens de ransomware e replicar as chaves de descriptografia que elas usavam.
A prevenção, com um antivírus e backups regulares dos seus dados, é a melhor maneira de se proteger contra ataques de ransomware.
Mas, atualmente, a maioria dos tipos de ransomware usa criptografia de 128 ou 256 bits (e, às vezes, uma combinação de ambas). Esse nível complexo de criptografia também é usado por servidores, navegadores e VPNs para proteger seus dados, pois é muito seguro.
Se seus arquivos estiverem infectados com uma variante de ransomware que usa um desses métodos de criptografia altamente seguros, a recuperação será quase impossível. Por isso, a prevenção, com um antivírus e backups regulares dos seus dados, é a melhor maneira de se proteger contra ataques de ransomware.
As pessoas que já foram vítimas de ransomware devem descobrir qual é o tipo de ransomware que as atingiu e procurar ajuda das autoridades. Não pague o resgate, pois não há garantia de que você recuperará seus dados e o valor monetário do resgate provavelmente é muito maior do que o dos dados que você perdeu.
Não. Recomendamos que você não pague o resgate. Lembre-se de que você está lidando com cibercriminosos e não há garantia de que eles cumprirão a promessa que fizeram. O pagamento de resgate confirma para os hackers que o ransomware é um negócio lucrativo e serve como incentivo a continuar usando o ransomware e financiar outros crimes cibernéticos.
Em alguns casos, os arquivos mantidos como reféns pelo ransomware não podem ser descriptografados. Esse era o caso do Petya: o algoritmo de criptografia do ransomware era irreversível. Embora os profissionais de segurança cibernética geralmente recomendem não pagar o resgate, nem todos ouvem esse conselho. As empresas que enfrentam custos de recuperação ainda maiores se não pagarem, às vezes cedem.
Em vez de se preocupar com o que fazer quando o ransomware atacar, obtenha um bom antivírus com proteção integrada contra ransomware para que você nunca tenha que se preocupar em pagar um resgate. O AVG AntiVirus FREE ajuda a proteger contra ransomware, vírus, phishing e todos os outros tipos de ameaças digitais. Inicie sua proteção contra ransomware hoje mesmo com o AVG AntiVirus FREE.
Privacidade | Reportar vulnerabilidade | Contatar segurança | Contratos de licença | Sobre Trabalho Escravo Contemporâneo | Cookies | Declaração de acessibilidade | Não vender minhas informações | | Todas as marcas comerciais de terceiros pertencem a seus respectivos proprietários.
