Ransomware – A minha primeira experiencia.

Tive recentemente a minha primeira experiencia com este tipo de Spyware/infecção/ataque. E devo acrescentar é uma situação muito aborrecida para quem não estiver preparado para algo do genero.

Os Ransomwares são softwares maliciosos que, ao infectarem um computador, criptografam todo ou parte do conteúdo do disco rígido. Os responsáveis pelo software exigem da vítima, um pagamento pelo “resgate” dos dados. Ransonwares são ferramentas para crimes de extorsão e são extremamente ilegais. O PC Cyborg Trojan, foi o primeiro código de um ransomware conhecido. Nomes de alguns Ransomwares conhecidos: Gpcode-B e PGPCoder. Fonte: Wikipedia

Ransomware pode assumir diferentes formas, mas basicamente ele nega o acesso a um dispositivo ou ficheiros até que um resgate seja pago.

Em muitos casos os programas de Anti-virus são incapazes de detectar este tipo de ataque o que torna este tipo de ataque extremamente perigoso.

Enquanto estive investigar mais sobre o caso um artigo que encontrei explica como uma vulnerabilidade existente no Sistema Operativo da empresa de Redmond (Microsoft) torna possível que os Anti-virus não detectem este tipo de ataque. Clique aqui para o ler(está em Inglês).

Saber que fomos infectados/atacados é bastante simples, uma ou todas opções aconteceram:

  • De repente você não pode abrir ficheiros normais e recebe erros como o ficheiro está corrompido ou tem a extensão errada.
  • Uma mensagem alarmante foi definida para o seu fundo desktop com instruções sobre como pagar para desbloquear seus ficheiros.
  • O programa avisa que há uma contagem regressiva até que o resgate aumenta ou você não será capaz de desencriptar seus ficheiros.
  • Uma janela se abriu para um programa de ransomware e você não pode fechá-lo.
  • Você tem ficheiros com nomes como HOW TO DECRYPT FILES.TXT ou DECRYPT_INSTRUCTIONS.HTML.

 

Para se estar infectado por uma estirpe de ransomware, um utilizador terá que ter ao menos baixado e executado algum tipo de ficheiro que pode ter sido obtido pelas seguintes formas:

  1. Email
  2. Download
  3. Software Livre

Estou infectado, E agora, o que fazer?

  1. Desconectar o computador
    • Uma vez identificado o computador suspeito desligar da rede imediatamente seja física, sem fios. Dispositivos USB como disco duros e pen drives.
  2. Determinar o escopo
    • Entender a extensão da infecção é importante por causa do tipo de resposta a ser dado:
      1. Unidades compartilhadas
      2. As pastas compartilhadas
      3. Rede de armazenamento de qualquer tipo
      4. Discos rígidos externos
      5. Dispositivos de armazenamento USB com ficheiros valiosos
      6. Armazenamento baseado em nuvem (Dropbox, Google Drive, Microsoft onedrive / Skydrive etc …)
  1. Determinar o tipo
    • É importante saber exactamente qual tipo de ransomware estamos a lidar. Todos os ransomware seguem um padrão básico, criptografar os ficheiros, em seguida, pedir pagamento antes de um prazo determinado. Mas saber qual o tipo ajuda na tomada de decições.
  2. Avalie suas respostas
    • Agora que você sabe o alcance de seus arquivos criptografados, bem como a tensão de ransomware você está lidando com, você pode fazer uma decisão mais propriedade quanto ao qual sua próxima ação será.
    • Para ser franco, você tem 4 opções, listados aqui da melhor para a pior:
      • Restaurar a partir de um backup recente
      • Descriptografar os ficheiros usando um software para o efeito (muito remota esta opção)
      • Fazer nada (perder seus dados)
      • Negociar / pagar o resgate

 

No final das contas, seguir as melhoras práticas é a melhor linha de defesa. Estas práticas incluem mas não se limitam a:

  1. Treinar as pessoas
  2. Backups em dia
  3. Software actualizado
  4. Medidas de Monitoramento

 

 

0 replies

Leave a Reply

Want to join the discussion?
Feel free to contribute!

Deixe um comentário