Perguntas Frequentes

A história do ransomware

1986: O primeiro ransomware conhecido, o 1989 AIDS Trojan (também conhecido por «PC Cyborg»), foi desenvolvido por Joseph Popp
2005: Em Maio, começa a aparecer ransomware de extorsão
2006: Em meados de 2006, worms como Gpcode, TROJ.RANSOM.A, Archiveus, Krotten, Cryzip, e MayArchive começam a usar esquemas de encriptação RSA mais sofisticados, com os tamanhos das chaves sempre a aumentar
2011: Aparece um ransomware a imitar a Ativação de Produto do Windows
2013: Um worm ransomware baseado no exploit kit Stamp.EK aparece assim como ransomwares específicos para Mac OS X. O CryptoLocker rouba um valor estimado em $5 milhões nos últimos quatro meses do ano
2015: Múltiplas variantes em multiplas plataformas causam danos como nunca visto

Tipos de ransomware

  • Encryption Ransomware

Cifra pastas e ficheiros pessoais (documentos, folhas de cálculo, fotografias, vídeos, etc.).

Os ficheiros afetados são apagados depois de serem cifrados, normalmente é deixado um ficheiro de texto com instruções para o pagamento na mesma pasta destes ficheiros.

O utilizador poderá só descobrir o problema depois de tentar abrir um dos ficheiros afectados.

Existem casos de ransomware que usa cifragem onde é mostrado um bloqueio de ecrã (“lock screen”):

Maktub1 Ctblocker2.10 Bitman_040 Bitman_025

  • Lock Screen Ransomware — WinLocker

Bloqueia o ecrã do computador e exige um pagamento para o desbloqueio.

Mostra uma imagem em ecrã completo que bloqueia o acesso a qualquer outra janela.

Não cifra nenhum ficheiro.

Polyransom2

  • Master Boot Record (MBR) Ransomware

O Master Boot Record (MBR) é uma parte do disco rígido do computador que permite ao sistema operativo arrancar.

O MBR ransomware altera o MBR de forma a que o processo normal de arranque seja interrompido e mostra a nota de resgate no ecrã.

Master-Boot.jpg

  • Ransomware que encripta servidores web

Afeta webservers e cifra um número considerável de ficheiros impedindo o seu normal funcionamento.

Vulnerabilidades conhecidas em Content Management Systems são muitas vezes utilizadas de forma a comprometer servidores web e executar ransomware nos mesmos.

Ransomware encrypting web servers

  • Mobile ransomware (Android)

Dispositivos móveis (sobretudo SO Android) podem ser infetados via “drive-by downloads”.

Também podem ser infetados através de apps falsas que fazem passar-se por apps populares como o Adobe Flash ou produtos antivírus.

Mobile Ransomware

Se for atacado, devo pagar o resgate?

Pagar o resgate nunca é recomendado, principalmente porque não garante que seja a solução do problema. Um número considerável de problemas podem surgir depois de pagar o resgate, por exemplo, a componente de recuperação do malware pode ter um bug que faça com que os dados cifrados fiquem irremediavelmente perdidos, mesmo com a chave de decifragem correcta.

Adicionalmente, se o resgate for pago, prova aos criminosos que o ransomware é efetivo. Em resultado, os criminosos irão continuar a desenvolver a sua actividade à procura de novas formas de explorar sistemas, resultando num maior número de infecções e mais dinheiros nas suas mãos.

Como é que um ataque de ransomware funciona?

Um ataque de ransomware, normalmente, é iniciado através de um email enviado com um anexo que pode ser um ficheiro executável, um ficheiro comprimido (.zip), um documento de office, entre outros. Assim que o anexo é aberto pelo utilizador o malware é executado no computador. Para além de emails com anexos maliciosos, o ransomware também pode ser distribuído através de websites, que quando o utilizador os visita é infetado sem se aperceber.

A infeção não é imediatamente visível para o utilizador. O malware opera silenciosamente até que a cifragem ou bloqueio seja executado. Depois disso uma mensagem é mostrada no ecrã a informar que os dados foram bloqueados e a solicitar o pagamento do resgate para o utilizador ter acesso de novo aos seus dados. Após isto acontecer é tarde para salvar os dados através de qualquer medida de segurança que possa existir.

Para mais informação veja o vídeo seguinte:

Quem são as vítimas de ransomware?

Qualquer consumidor ou qualquer empresa poder ser vítima de ransomware. Os cibercriminosos não são seletivos e procuram afetar o maior número de vítimas a fim de obter o maior lucro possível.

Os ataques de ransomware contra empresas estão a crescer?

Sim, porque os criminosos sabem que as empresas estão mais propensas a pagar já que os seus dados são tipicamente mais sensíveis e vitais para a continuidade do seu negócio. Adicionalmente, em alguns casos pode ser mais caro restaurar os dados de um backup do que pagar o resgate.

Porque é que é tão difícil achar uma solução única para todo o ransomware?

O ransomware está a crescer e a evoluir rapidamente – neste momento existem mais de 50 famílias deste tipo de malware em circulação. Com cada nova variante surge melhor encriptação e novas funcionalidades. Isto é algo que não se pode ignorar!

Uma das razões porque é tão difícil encontrar uma única solução para o ransomware é que cifragem por si só não é algo malicioso. Muito pelo contrário, é algo que muito software utiliza de forma legítima.

O primeiro crypto-malware utilizava algoritmos de chave simétrica, a mesma chave era usada tanto para cifrar como para decifrar. Isto permitia que a informação cifrada fosse recuperada com sucesso com a assistência de empresas de segurança informática. Ao longo do tempo, os criminosos começaram a utilizar algoritmos de criptografia assimétrica, que usam duas chaves diferentes - uma chave pública para cifrar ficheiros, e uma chave privada que é necessária para decifrar os mesmos ficheiros.

O CryptoLocker é um dos mais famosos ransomwares. Utiliza um algoritmo assimétrico de chave pública. Assim que cada computador é infetado, liga-se ao servidor de comando e controlo para fazer download da chave pública. A chave privada associada é acessível somente aos criminosos que operam o ransomware. Normalmente, a vítima não tem mais de 72 horas para pagar o resgate antes que a chave privada seja apagada para sempre e se torne impossível desencriptar qualquer ficheiro com essa chave.

Por isso, tem que se pensar em prevenção. A maior parte dos programas antivírus possuem uma funcionalidade que permite identificar uma ameaça de ransomware nas primeiras fases da infeção, sem que ocorra perda de dados. É importante que os utilizadores confirmem que esta funcionalidade está ativa nas suas soluções antivírus.

Quais são as probabilidades de poderem ajudar vítimas de ransomware a recuperar os seus ficheiros?

O projecto “No More Ransom” acabou de começar mas estamos a trabalhar continuadamente com outras empresas de segurança e agências de autoridade de forma a identificar o maior número de chaves possíveis, para o maior número de variantes de ransomware possíveis. Se possui alguma informação que acha que pode ajudar, por favor, partilhe-a connosco.

O que é o Crypto Sheriff e como o posso utilizar?

O Crypto Sheriff é uma ferramenta desenhada para ajudar a identificar o tipo de ransomware que está a afectar o seu dispositivo, de forma a ajudar a verificar se existe uma solução de desencriptação disponível. Por favor, veja o video seguinte para saber como funciona:

A vossa ferramenta de decifragem não funciona, e tenho a certeza que estou a utilizar a ferramenta certa - Porquê?

Isso é possível. Por vezes só temos acesso a um subconjunto da totalidade das chaves de decifra. Por favor, continue a verificar a nossa página para novas atualizações.

Quando é que é possível decifrar ficheiros que foram cifrados por ransomware?

É possível nos casos seguintes:

  • Os autores do malware fizeram um erro de implementação, tornando possível quebrar a criptografia. Foram os casos do Petya ransomware e do CryptXXX ransomware.
  • Os autores do malware arrependem-se do dano que causaram com as suas ações e publicam todas as chaves, ou uma chave mestre, como foi o caso do TeslaCrypt.
  • Agências de autoridade recuperam um servidor com chaves e partilham as mesmas. Um caso destes aconteceu com o CoinVault.

Por vezes pagar o resgate também funciona mas não existe garantia que ao pagar irá conseguir decifrar os seus ficheiros. Adicionalmente, ao fazê-lo está a suportar o modelo de negócio dos criminosos e por isso também será responsável por cada vez mais pessoas serem infetadas com ransomware.

Porque é que decidiram criar a iniciativa No More Ransom?

Não é segredo que o ransomware, que cifra dados nos sistemas dos utilizadores e pede um resgate, se tornou um enorme problema para a cibersegurança nos últimos anos. Tornou-se tão alargado que pode ser facilmente considerado uma epidemía.

O número de utilizadores atacados por ransomware é crescente, com 718.000 utilizadores afetados entre Abril 2015 and Março 2016: um aumento de 5.5 vezes quando comparado com o mesmo período em 2014-2015.

A polícia não pode combater o cibercrime, e o ransomware em particular, por si só. E os investigadores de segurança não o podem fazer sem o suporte das agências de autoridade. A responsabilidade pela luta contra o ransomware é partilhada entre a polícia, o departamento de justiça, a Europol e empresas de segurança IT, e requer o esforço em conjunto. Juntos iremos fazer tudo ao nosso alcance para este modelo de negócio muito lucrativo para os criminosos e ajudar a recuperar gratuitamente os ficheiros das vítimas

Existe alguma iniciativa similar no meu país?

No More Ransom é uma iniciativa internacional e mostra o valor da cooperação publico-privada quando se leva a sério a luta contra o cibercrime. Esta colaboração vai além de fronteiras geográficas. O objectivo principal do projecto é partilhar conhecimento e educar utilizadores em todo o mundo sobre como se devem prevenir de ataques de ransomware. Acreditamos que irá apoiar a reparação de danos causados a vítimas em todo o mundo. Ao restaurar o acesso aos seus sistemas, capacitamos os utilizadores e mostramos que podem agir e evitar gratificar criminosos com pagamentos de resgate.

Na sua fase inicial, o portal contém quatro ferramentas de decifragem para diferentes tipos de malware. Todas as ferramentas disponíveis no website são grátis, e irão funcionar para qualquer ameaça mencionada no website, independentemente da sua localização geográfica.