Ransomware

Há alguns anos atrás eu fui vítima de um ataque de Ransomware. Eu estava navegando por alguns sites suspeitos quando explodiu uma tela de violação de leis americanas e instruções de pagamento de multa. Como eu não havia perpetrado as violações mencionadas eu fiquei indignado. Como desligar e ligar o computador não resolvia nada eu cogitei por alguns instantes pagar as multas e recuperar o acesso aos meus arquivos. O meu computador era protegido por firewall e antivírus e isto me levou a acreditar que tinha feito algo errado. Usando um computador antigo consegui descobrir que não havia infringindo lei alguma e eu estava sendo vítima de um ataque de Ransomware.

Como fiquei desesperado eu apertei a esmo sequências de teclas para recuperar o acesso ao computador. Por um lance de pura sorte descobri com um Ctrl C que existia uma janela dos executando um script que era a origem do ataque. Consegui então injetar alguns comandos e interromper a execução do script. Com isto descobri onde ele estava fisicamente e um simples delete retornou o meu acesso ao computador. Em 2016 este tipo de ataque perdeu o espírito amador e virou um negócio. Por isto é muito importante saber o que fazer antes de ataque assim e identificar o mesmo o mais rápido possível. O ataque de Ransomware inicia de forma invisível para o usuário. Ele começa com a troca de uma chave de criptografia e a criptografia dos arquivos durante a ociosidade do computador. Durante alguns meses o ataque acontece apenas criptografando os arquivos e liberando o seu acesso. Pessoas mais atentas vão perceber uma progressiva lentidão do computador.

Por isto é importante manter em disco externo o backup dos arquivos em base anual, ou seja, um backup de cada uma das semanas por um ano. No caso de um ataque é possível restaurar uma cópia não criptografada e continuar o trabalho a partir deste ponto. Existem perdas que podem ser bem chatas neste estratagema. É melhor do que nada, mas não é uma solução agradável, pois existirão perdas. Mesmo com firewall, antivírus e outras ferramentas de proteção é possível ser atacado pelo Ransomware. Ele pode vir até mesmo de uma rede supostamente segura. Isto significa que é importante estabelecer medidas preventivas e mitigatórias ao ataque. É de fundamental relevância que a empresa debata internamente o que deve fazer em um ataque de Ransomware. Se deve pagar o resgate ou não.

Foi afirmado que o mercado de Ransomware cresceu tão rapidamente que o ataque é oferecido como um serviço.

Fonte: Ransomware-as-a-service is exploding: Be ready to pay, http://www.techrepublic.com/article/ransomware-as-a-service-is-exploding-be-ready-to-pay/, acessado em 22/08/2016.

Como os ataques de Ransomware estão crescendo no mundo inteiro já existindo inclusive a modalidade Ransomware as a Service (RaaS) é preciso ter certeza se ele está mesmo ocorrendo. Os ataques normalmente pedem resgastes em bitcoins, por isto desconfie quando receber instruções em outras moedas. Alguns ataques são amadores e parecem ser um Ransomware. Use as combinações para parar os programas como Ctrl C e Ctrl break para ver ser algo acontece no computador infectado.

Ao ter certeza do ataque desconecte imediatamente este computador da rede com e sem fio. Verifique as instruções contra o Ransomware nos sites dos fabricantes de antivírus, pois em 30% dos casos as chaves de criptografia usadas pelo ataque já foram quebradas e é possível recuperar os arquivos. Se nada funcionar é importante acionar a polícia e reportar o caso. Nesta situação existem poucas alternativas restantes. Uma delas é pagar o resgate. A outra é usar o backup e assumir algumas perdas. Sempre use o caso para aprender as lições oferecidas. Mesmo que as lições sejam amargas e dolorosas.

Para prevenir um ataque de Ransomware a primeira medida é mapear todos os ativos digitais da empresa. Tenha em local isolado a descrição e data de criação de todos os ativos digitais. Muitas vezes as pessoas não sabem o que foi atacado e o seu valor. A segunda medida é manter atualizado todos os sistemas operacionais e de proteção. Inclua os celulares nesta medida. A terceira ação e fazer backup semanal de todos os ativos digitais que são relevantes. Mantenha o backup fora da rede. Lembre-se que backup em nuvem não é backup fora da rede. A nuvem é parte da sua rede. A quarta medida é segmentar a rede de forma a ter os ativos digitais importantes em região de rede de acesso restrito e controlado. Muitas vezes isto salva os seus ativos de ataques.

A quinta medida é provavelmente a mais importante. Treine permanentemente a sua equipe de colaboradores em relação a segurança digital. Só contrate pessoas para qualquer setor da empresa com histórico de preocupação com segurança. Normalmente o ataque de Ransomware começa com a abertura de um simples anexo de e-mail. Muitas vezes os atacantes ligam para a empresa se identificando como funcionário e pedem para a pessoa abrir o anexo de um e-mail que parece ser legítimo. Treine muito a sua equipe. Tenha situações de controle interno ativas permanentemente.  A sexta medida é ignorada em diversas situações. Avise sempre a sua equipe que a rede e computadores estão sendo atacados e informe o que deve ser feito.

Leituras recomendadas:

http://www.techrepublic.com/article/10-tips-to-avoid-ransomware-attacks/?ftag=TREa988f1c&bhid=20826003731419366201607380150567, How to avoid ransomware attacks: 10 tips, acessado em 22/08/2016.

The 7 best ransomware removal tools - how to clean up Cryptolocker, CryptoWall and extortion malware, http://www.techworld.com/security/7-best-ransomware-removal-tools-how-clean-up-cryptolocker-cryptowall-extortion-malware-3626974/, acessão em 22/08/2016.