O malware não é mais o que costumava ser. Antes, tudo que se precisava fazer era rodar uma solução antivírus ou seguir um passo a passo para remover os arquivos maliciosos e se livrar de seus efeitos. Mas o ransomware não é assim tão fácil de resolver. Criado para bloquear um sistema e manter certos arquivos reféns até que um resgate seja pago, os golpes de ransomware são projetados para forçar uma aposta de tudo ou nada com suas vítimas – uma aposta que garanta que ou o operador do malware é pago ou a vítima perde arquivos importantes.
Enquanto as primeiras variantes de ransomware, especialmente aquelas que simplesmente bloqueavam a tela do computador, podiam ser resolvidos com uma solução como a AntiRansomware Tool 3.0 da Trend Micro, os tipos mais novos e mais evoluídos não são tão fáceis de decifrar. De fato, o crypto-ransomware (um tipo de ransomware que restringe o acesso do usuário bloqueando o sistema e criptografando certos arquivos) é como um “cheque mate” cibercriminoso que deixa suas vítimas tendo que tomar uma decisão difícil.
Essas variantes de ransomware são feitas para aproveitar o poder da criptografia moderna. Desenvolvido originalmente para proteger dados e comunicações, esses métodos de criptografia usam um algoritmo que embaralha os arquivos criptografados para que só possam ser acessados por alguém com uma chave de decodificação.
O CryptoLocker, uma das primeiras e mais populares variantes do crypto-ransomware, usa uma criptografia de chave pública RSA, que é um sistema que envolve o uso de duas chaves:
Uma chave pública que criptografa o sistema da vítima e uma chave privada (uma que supostamente é mantida pelo operador do malware) para decodificá-lo. Simplesmente não há como contornar isso. Sem a chave de decodificação, os arquivos continuarão criptografados, mesmo depois do malware ter sido removido.
Os algoritmos de criptografia foram desenvolvidos para proteger os dados contra acesso não autorizado. Infelizmente, o crypto-ransomware está usando isso contra vítimas inocentes.
O que torna o crypto-ransomware tão perigoso é que ele usa métodos de criptografia que foram feitos para serem indecifráveis. Esse é o motivo dos fornecedores de segurança não poderem apenas criar uma ferramenta para decodificar os arquivos, É praticamente impossível fazer isso sem as chaves de decodificação e é bastante irrealista aluém crie uma “super ferramenta de decodificação” que possa descobrir todos os métodos de algoritmos, ou que possa armazenar todas as possíveis chaves de decodificação usadas por todas as possíveis variantes de ransomware.
Devem deve se notar que se fosse possível desenvolver uma ferramente que pudesse decifrar algoritmos de criptografia sofisticados, o mundo teria problemas ainda maiores. Todos, de governos a empresas até contas pessoais de email e comunicações móveis, usam chaves de criptografia, de um jeito ou de outro. Afinal, os algoritmos de criptografia foram desenvolvidos para proteger os dados contra acesso não autorizado. Infelizmente, o crypto-ransomware está usando isso contra vítimas inocentes.
Os arquivos criptografados podem se decifrados sem pagar o resgate? Em última análise, depende de quão bom ou completo foi seu criador e se pode ser decifrado a tempo. Os arquivos critografados pelo ransomware podem ser decifrados se usou um algoritmo de criptografia fraco (desde que a chave possa ser regenerada usando o mesmo algoritmo), ou se as chaves puderem ser encontradas dentro do código do malware ou da máquina infectada antes que o prazo final para o resgate expire.1
1.Esse cenário também depende de se ter alguém com conhecimento para saber como vasculhar o código, procurando as chaves para decifrar.
Infelizmente, isso é um tiro no escuro. Na corrida armamentista constante entre os cibercriminosos, fornecedores de segurança e agentes da lei, os bandidos – ou pelo menos os bons – provavelmente não vão continuar usando métodos que sejam fáceis de resolver. Afinal, se o crypto-ransomware fosse fácil de resolver, não seria considerado uma ameaça perigosa e os cibercriminosos não o estariam usando tanto.
Do mesmo modo que as soluções de segurança se desenvolveram para bloqueá-lo, o malware também evolui. E os “mais bem-sucedidos” estão constantemente sendo melhorados. Em junho de 2015, vimos uma variante conhecida chamada CryptoWall evoluir para a versão “3.0”, que usa novos métodos para evitar a detecção.
Afinal, se o crypto-ransomware fosse fácil de resolver, não seria considerado uma ameaça perigosa e os cibercriminosos não o estariam usando tanto.
O golpe se tornou tão eficaz que mesmo as agências legais e os departamentos governamentais se tornaram vítimas e foram atingidos tão seriamente que tiveram que pagar o resgate. Em abril de 2015, o Gabinete do Xerife do Condado de Lincoln, no Maine e quatro departamentos de polícia da cidade foram vítimas de um ataque de ransomware que criptografou seus discos rígidos. Eles escaparam de forma relativamente fácil, já que relataram ter pago apenas $300 dólares.2
2. De acordo com um relatório, alguém acidentalmente baixou o vírus através de uma rede comunitária. O pagamento foi feito através de uma transferência de bitcoins e tudo que o FBI conseguiu fazer foi rstrear o pagamento até uma conta em um banco suíço.
Mas pagar o resgate não é recomendado porque não há garantia de que os agressores manterão o acordo. E mesmo se o fizerem, pagar vai apenas encorajar mais cibercriminosos a criar mais ataques. É a mesma razão pela qual os governos “não negociam com terroristas”.3
3. Afinal, é o que torna esse incidente ainda mais irônico. Basicamente, os cibercriminosos só usaram métodos de criptografia – métodos que foram originalmente criados para proteger dados – para fazer uma delegacia de polícia refém. A polícia então pagou o resgate para voltar a ficar online para poder continuar a perseguir os criminosos… mas não conseguiu pegar o que manteve as operações da delegacia reféns. Irônico.
Como essa ameaça é eficaz e prejudicial, os usuários devem ser proativos e aplicar a mesma precaução que aplicariam ao lidam com qualquer outro vírus – biológico ou digital. Afinal, a prevenção é sempre melhor do ter que encontrar a cura. Um software de segurança pode ajudar a impedir o malware de se infiltrar no sistema do usuário e fazer o backup de dados críticos pode reduzir a perda causada por arquivos sendo reféns.
A solução de segurança de endpoint OfficeScan da Trend Micro tem um recurso de monitoramento de comportamento (OSCE 10.6 com Service Pack 3) que detecta proativamente ameaças através de análise de comportamento, alertando os usuários antes que executem novos arquivos –um sinal comum de um ataque de ransomware. Seguir o método de backup 3-2-1 também pode diminuir o grau dos efeitos de um ataque de ransomware de “desastroso” para simplesmente “irritante”.
[Visite nossa biblioteca de Ransomware para encontrar mais artigos sobre o assunto!]
