O que é ransomware? Aprenda tudo sobre a ameaça e como removê-la

Muito se fala sobre os ataques de sequestro digital, os famosos ransomware, principalmente após a pandemia do covid-19. Porém, é fato que muitas pessoas acabam ouvindo o termo e não entendendo o que ele significa, e menos ainda percebendo o perigo desse tipo de golpe virtual.

Ransomware é um tipo de ataque virtual no qual um computador, quando infectado, tem seus dados criptografados, impedindo que eles possam ser acessados. Para poder liberar os dados, normalmente os criminosos exigem um resgate, ou, em inglês, ransom. A prática é um dos principais crimes virtuais, principalmente após as mudanças trazidas pela pandemia do covid-19.

Os danos causados por um ataque ransomware podem ter consequências além da perda de dados. Os criminosos, nos últimos tempos, tem tomado empresas como alvos, e ao realizar ataque, exigem resgates milionários, muitas vezes que podem complicar todo o balanço financeiro da empresa. 

Existem diferentes tipos de ransomware, desde dos que podem ser desinstalados em apenas alguns cliques até os extremamente complexos e complicados de serem removidos. Além disso, caso um computador seja infectado, não existe uma solução universal para resolver o problema, como uma ferramenta de descriptografia que funciona em todos os tipos de vírus. Por isso, para prevenir que você ou seu ambiente de trabalho seja alvo de um golpe do tipo, é bom se informar sobre o vírus. 

Detectando um ransomware

O primeiro passo para conseguir se prevenir de um ataque de sequestro virtual é saber como detectá-lo. Quanto antes a ameaça for detectada, mais fácil será combater a infecção. Existem vários sinais para identificar o crime antes que seja tarde, e os listamos a seguir:

Fique de olho em alarmes do antivírus

Se o seu dispositivo tiver um programa anti-vírus, as chances são grandes que ele identifique o ransomware antes que o computador seja infectado. Porém, tome cuidado, alguns ataques conseguem enganar os verificadores.

O antivírus é importante principalmente por conseguir identificar muitas vezes o nome exato do malware que está tentando infectar a máquina. Normalmente, após o ransomware ser executado, o vírus que o trouxe para o computador se auto-deleta, impossibilitando a identificação e complicando a solução do problema.

Verifique a extensão e o nome dos arquivos

Um arquivo de imagem sempre terá extensões “.jpg” ou “.png”, certo? Caso você identifique uma mudança de extensão em algum arquivo para uma sequência de letras diferente do normal, é bem possível que sua máquina esteja sofrendo um ataque de sequestro virtual.

O mesmo cuidado deve ser tomado com documentos que, do nada, tem seus nomes modificados. Ataques ransomware geralmente modificam o nome dos arquivos infectados, então fique de olho nesses detalhes.

Verifique se há aumento da atividade da CPU e do disco. 

O aumento da atividade do disco ou do processador para valores acima do comum pode indicar que algo, em segundo plano, está fazendo alterações em ambos os componentes. Confira essa informação com frequência, pois ransomwares quando estão criptografando dados aumentam o uso da CPU e do disco. 

Fique de olho em comunicações de rede duvidosas

Apareceu um alerta em seu sistema operacional ou em seu programa antivírus indicando que a máquina está realizando uma comunicação de rede suspeita? Isso é mais um alerta, pois a interação do malware com o servidor do invasor pode fazer com que essa notificação apareça. 

Sofri um ataque ransomware, e agora?

Se outros sinais não foram identificados, a invasão provavelmente será bem sucedida. Um último sinal, embora tardio, é a aparição de arquivos criptografados no computador, que não podem ser abertos. Por fim, uma janela será aberta na tela, com um pedido de resgate, confirmando que o dispositivo está sofrendo um ataque ransomware. Porém, há meios de tentar se livrar do vírus. 

O ransomware, geralmente, é encontrado em duas variantes: o de bloqueio e o de criptografia.O primeiro trava a tela inteira, enquanto o segundo ainda permite que você mexa no computador, mas arquivos não poderão ser abertos, pois estão bloqueados. 

Em qualquer um dos dois casos, existem algumas opções gerais para se livrar do ataque:

• Pagar o resgate e esperar que os cibercriminosos cumpram com sua palavra e descriptografem os dados;
• Tentar remover o malware usando as ferramentas disponíveis;
• Restaurar o computador com as configurações de fábrica.

Se você optar por remover o malware usando as ferramentas disponíveis, o processo não é exatamente simples, mas também não é impossível.

No cenário em que o ataque foi realizado com um ransomware de bloqueio de tela, o primeiro desafio é conseguir acessar o software de segurança da máquina. Uma possível solução, nesse caso, é iniciar o computador no Modo de Segurança. Nesse modo, existe a possibilidade que o malware responsável pelo bloqueio de tela não seja carregado, já que não é uma função necessária para o funcionamento básico do dispositivo. Caso o modo de segurança funcione, basta executar o programa antivírus para combater a praga. 

Agora, se o cenário for um ataque com ransomware de criptografia, o processo tem mais variáveis. Como dito mais cedo na matéria, identificar cedo o ataque de um possível vírus no computador já muda muito o enfrentamento dele. Mas, se o malware não for detectado de forma precoce, em alguns casos, há chances de não ter como recuperar os dados criptografados. 

Se o ransomware for detectado antes do pedido de resgate ocorrer, você tem tempo para frear a infecção. Os dados que foram criptografados até o momento irão permanecer bloqueados, mas nada além deles será afetado. Um outro ponto importante em detectar o ataque o mais cedo possível é que o malware é impedido de se espalhar para outros dispositivos e arquivos.

Outro método para permanecer seguro caso sofra um ataque de criptografia é manter um backup de todos os seus dados, seja em disco físico ou em armazenamento na nuvem. Ocorrendo uma infecção por ransomware em sua máquina, você pode simplesmente ignorar o resgate e restaurar seu computador para as configurações de fábrica. Seus dados continuarão a salvo, graças ao backup. 

No cenário na qual o ataque não foi detectado cedo e não existia backup de dados, como proceder? Você pode pedir ajuda para a empresa responsável pelo seu antivírus e você pode pesquisar se já existe uma ferramenta de descriptografia para o ransomware que infectou sua máquina. Como última opção, caso todas as outras tenham falhado, existe o pagamento do resgate.

Pagar ou não o resgate?

Com todas as opções esgotadas, o pagamento do resgate para os criminosos pode começar a parecer uma boa opção, mas, assim como em uma situação real de reféns, a política de não negociação é a melhor opção. Em geral, pagar a taxa exigida pelos criminosos em casos de ransomware não é recomendado por não existir garantia que os invasores realmente irão cumprir com a promessa de liberar os dados. Além disso, o ato pode incentivar esse tipo de crime, o que é algo que deve ser evitado ao máximo. 

Porém, se a intenção de pagar o resgate realmente existir, é importante que você não remova o ransomware do computador, já que em muitas variantes do sequestro virtual o malware é o único programa capaz de aplicar o código de descriptografia nos arquivos. Uma remoção após pagar a taxa mas antes da descriptografia dos documentos pode tornar o código, adquirido por um alto preço, inútil, resultando na completa perda de dados e de dinheiro.

Caso o vírus ainda não tenha sido eliminado, mas a chave de descriptografia chegou, primeiro libere os arquivos e logo depois exclua o vírus, já que não há mais razão para manter o programa malicioso em sua máquina. 

Independente de todos esses passos, fica claro que ransomware é um perigo virtual real, e dos mais intensos. Caso você se veja vítima de um ataque do tipo, o suporte da empresa responsável pelo seu antivírus assim como ter em mente os passos explicados no decorrer desse texto podem te ajudar a não ter tantos danos. Porém, mesmo seguindo todas as dicas desse texto, não se considere invencível; qualquer um está sujeito a sofrer um ataque de sequestro virtual. 

Fonte: Kaspersky