Home > Notícias

Programas seqüestram dados de internautas

Com a ajuda de ransomwares, criminosos criptografam arquivos e exigem dinheiro em troca da senha necessária para reavê-los

Por Andrew Brandt - PC World (EUA)

12/09/2006 às 12h20

Foto:

Com a ajuda de ransomwares, criminosos criptografam arquivos e exigem dinheiro em troca da senha necessária para reavê-los

Nível de perigo: Médio
Probabilidade: Baixa
Alvo: Usuários do Windows

hackerParece um plano tramado pelo Dr. Evil, o inimigo do atrapalhado detetive Austin Powers: “Invada o computador da sua vítima, seqüestre seus arquivos e faça de seus dados reféns até que ela te pague o resgate”. Piadas à parte, ataques deste tipo vêm ocorrendo no mundo todo.

O Cryzip é um ransomware (malware especializado neste tipo de ataque) que procura por 44 tipos diferentes de arquivos (de Word ou Excel, por exemplo) no HD do computador atacado e os comprime num arquivo protegido por senha. A partir daí, a vítima é pressionada a depositar quantias de cerca de 300 dólares em contas do tipo e-gold (contas virtuais que utilizam uma unidade monetária específica e que podem ser abertas por qualquer um na rede sem grandes complicações) selecionadas de forma randômica. Uma vez pagos, os criminosos fornecem a senha necessária para que os dados voltem a ser acessados pela vítima.

Em maio, outro ransomware ficou conhecido, o Arhiveus. Ele não direcionava o pagamento do ‘resgate’ a uma conta específica e sim, instruía as vítimas a comprar medicamentos vendidos sob prescrição em uma farmácia online e enviar a ordem de compra para o autor do crime como prova do pagamento.

“Parecia ser uma farmácia virtual russa hospedada em servidores na China”, lembra Joe Stewart, da consultoria de segurança Lurhq. “Junto à URL do site havia algo que era uma espécie de ID afiliada – de que eles provavelmente se aproveitavam.” Ao examinar tanto o Cryzip quanto o Arhiveus, Stewart conseguiu encontrar as senhas necessárias, sem proteção de criptografia, dentro do próprio código do malware.

Usuários experientes têm mais sorte. Richmond Mathewson, um desenvolvedor de softwares de Plovdiv, na Bulgária, conseguiu recuperar a maioria dos dados que sumiram do computador de uma amiga. Surpreendentemente, ela percebeu que todo o conteúdo de sua pasta Meus Documentos (da qual ela não possuía backup) havia desaparecido. Mathewson fez uma busca no computador e encontrou um simples, porém ameaçador, bilhete de resgate. Ele conseguiu reaver os dados utilizando um Mac Mini conectado à internet, uma ferramenta undelete gratuita e cerca de quatro horas de trabalho. Mas ele explica que o resgate não foi completo, já que 5% dos dados não foram recuperados.

Atualmente as táticas de ransomware não são muito sofisticadas e seu campo de atuação é limitado. Apesar de restringir o acesso da vítima aos documentos por meio da adoção de uma senha, o Arhiveus transfere todos os dados de seu alvo para um grande arquivo chamado “EncryptedFiles.als”, mas, na verdade, não chega a protegê-lo com criptografia.

“Para os usuários em geral, a ameaça é muito pequena”, explica Stewart. “Eu estimaria [a ocorrência de ransonwares] em poucos milhares de casos no mundo todo… Não é de interesse dos criminosos que isso se espalhe demais. Se eles se mantiverem restritos e mirarem pessoas indefesas, é mais provável que sejam pagos”.

“Mas isso é apenas a fase inicial desta prática”, alerta. Como todo tipo de ataque, o ransonware deve evoluir, com novas técnicas. “O fato do Arhiveus já estar misturando ransomware com compra de produtos em obscuras lojas é um indício de que podemos esperar algo maior”.

++++

Como funciona um ataque de ransonware

- Um usuário descuidado entra, acidentalmente, num site mal-intencionado e um cavalo-de-tróia do ransonware invade o PC.

- O ransonware compacta todo o conteúdo da pasta Meus Documentos para um arquivo protegido por senha.

- O usuário recebe um pedido de resgate requisitando pagamento em dinheiro ou uma compra em loja online em troca da senha.

Como se defender

- Se você for vítima, vá até a polícia. Não pague nada e não visite nenhum link presente no pedido de resgate.

- Anote todos os detalhes de qualquer bilhete ou mensagem que receber dos criminosos e desligue o PC infectado. De um PC ‘limpo’, faça uma busca na Web usando as informações do pedido de resgate. Você talvez encontre a senha disponibilizada online.

- Tente utilizar um programa de recuperação de arquivos. Mas saiba que alguns podem não ser recuperados. 

- Leia bons conselhos, dicas e reviews de produtos relacionados à proteção de sistemas no Infocenter de Segurança e no blog Security World


Saiba mais em nosso Especial de Segurança

Junte-se a nós e receba nossas melhores histórias de tecnologia. Newsletter por e-mail Newsletter por e-mail