“O WannaCry afetou 230 mil computadores em todo o mundo”
Podemos enumerar alguns tipos de ransomware e suas formas de
infecção de sistemas, são cada vez mais numerosos, e temos sites que podem
auxiliar na identificação do tipo de ransomware que infectou um sistema como o
No more Ransom e O ID Ransomware, pois estes sites tanto identificam o tipo de
ransomware invasor como indicam soluções para recuperar dados, mas nem sempre
isto é possível, portanto, o usuário de um computador deve ter sempre um backup
de suas informações e arquivos.
Temos dois modelos de ransomware mais importantes quanto ao
modo de atuação, que são os ransomware de bloqueio e o ransomware de
criptografia. O primeiro bloqueia as funções básicas de um computador, ele pode
bloquear o acesso à área de trabalho e o próprio mouse e teclado, que são
parcialmente desativados, pois assim o usuário infectado ainda pode acessar a
janela que contém o pedido de resgate, para que efetue o pagamento. Portanto,
este tipo de ransomware não destrói dados, somente exige o resgate dos mesmos
mediante pagamento.
O segundo modelo de ransomware tem como objetivo criptografar
os dados importantes do usuário infectado, como documentos, imagens e vídeos,
sem interferir nas funções básicas do computador, o que faz com que o usuário
possa visualizar os seus arquivos, mas sem poder ter acesso aos mesmos.
Os criminosos de criptografia podem muitas vezes colocar uma
contagem regressiva para o resgate dos dados mediante pagamento. Portanto, se o
tempo expirar tais dados serão excluídos. Se o usuário não fez backup em nuvem
ou em dispositivo externo de armazenamento físico, o ransomware de criptografia
pode fazer um estrago enorme, fazendo com que tais usuários desprevenidos
acabem pagando o resgate..
Um dos tipos mais conhecidos de ransomware é o WannaCrypt (ou
WannaCry) / Crypto malware. O WannaCrypt explora a vulnerabilidade MS17-010 do
SMBv1 (Server Message Block) e CVE-2017-0144 (também chamada EternalBlue) para
infectar outros computadores. O Windows desenvolveu um patch para não permitir
esse erro.
O WannaCry foi um dos maiores ataques de ransomware que já
houve, pois se disseminou em mais de 150 países em 2017. O WannaCry foi criado
pela NSA com o objetivo de explorar uma falha de segurança do sistema
operacional Windows, e acabou sendo vazado pelo grupo hacker Shadow Brokers. O
WannaCry afetou 230 mil computadores em todo o mundo e atingiu um terço de
todos os hospitais do Serviço Nacional de Saúde (NHS, National Health Service)
do Reino Unido. Foi exigido resgate em bitcoins para os usuários bloqueados. O
prejuízo financeiro mundial causado pelo WannaCry foi de, aproximadamente, US$
4 bilhões.
Outros ransomware comuns são o Locker, que é um ransomware
que bloqueia totalmente um sistema operacional. O Scareware, que é um software
falso que finge que é um antivírus ou uma ferramenta de limpeza e exige
pagamento para resolver o problema. Alguns tipos de Scareware bloqueiam seu
computador, enquanto outros enchem sua tela com alertas irritantes e mensagens
pop-up. O Doxware, por suavez, que é chamado de "vazamento", pois
ameaça publicar online os dados do usuário caso não seja feito o pagamento do
resgate.
O ransomware como serviço, que é o RaaS, pode ser hospedado
anonimamente por um hacker, e é de fácil utilização, podendo ser
disponibilizado para compradores, o que causa um bom ganho financeiro para os
seus programadores. Os criminosos que usam o RaaS se envolvem tanto na
distribuição deste ransomware, como coletam os pagamentos e gerenciam os
decifradores, que são os softwares que restauram o acesso dos dados então
sequestrados, tudo em troca da redução do preço do resgate, em que o usuário
ainda assim terá que pagar uma quantia. .
O Spora, por sua vez, infecta um sistema através de phishing
ou websites comprometidos, e ataca de forma lenta o servidor e encripta os
dados, ele atua fingindo ser um usuário administrador da rede, insere uma
janela pop-up que não some até que o usuário aceite o invasor como
administrador.
O Ransomware Petya, por sua vez, explora a mesma
vulnerabilidade SMB que o WannaCrypt, além do CVE-2017-0145 (também conhecido
como EternalRomance), e que usa credenciais roubadas para navegar na rede, mas
este ransomware ataca diretamente o disco rígido, seu acesso é negado, e
criptografa a tabela de arquivos mestre (MFT) para que o sistema de arquivos
fique bloqueado e o próprio Windows fique impossibilitado de iniciar.
O Petya surgiu como ataque em 2016 e ressurgiu como GoldenEye
em 2017. Por meio de um aplicativo falso contendo um link infectado do Dropbox,
o Petya se espalhou através de departamentos corporativos de RH. O Petya 2.0,
que é sua variante, também realiza ataques fatais contra dispositivos. Quando o
Petya veio como GoldenEye, isto culminou num ataque mundial em 2017 e o
ransomware ficou conhecido como o “irmão mortal” do WannaCry, pois atingiu mais
de 2.000 alvos, incluindo bancos e produtores de petróleo na Rússia.
O Reveton é também chamado de “Police Trojan” ou “Police
Ransomware”, pois é um ransomware mais antigo que bloqueia a tela ao invés dos
arquivos, logo aparecendo uma imagem em tela cheia e o gerenciador de tarefas
sendo desativado. Os arquivos não são danificados ou excluídos, mas o acesso
fica bloqueado. O ransomware afirma ser uma autoridade da lei dizendo que o
computador do usuário realizou atividades ilegais, portanto, o pagamento deve
ser feito para sanar os delitos. O Reveton usa o mesmo expediente de resgate de
outros ransomwares, para que os arquivos do usuário sejam restaurados para
acesso.
O Locky, por sua vez, criptografa arquivos específicos, em
geral, os de mídia, e uma vez eita a criptografia, o resgate é exigido mediante
instruções em nota de texto, imagem ou arquivo HTML. Ele foi usado pela
primeira vez em 2016 por um grupo organizado de hackers, quando o Locky
criptografou mais de 160 tipos de arquivos, sendo disseminado por phishings. O ransomware Locky se direciona para arquivos
que são mais usados por designers, desenvolvedores, engenheiros e testadores.
(continua)
Gustavo Bastos, filósofo e escritor.
Link da Século Diário : https://www.seculodiario.com.br/colunas/tipos-de-ransomware-parte-i
.jpg)
