resgate (sxc.hu)
Da Redação
Publicado em 13 de junho de 2014 às 16h36.
No final do ano passado, um malware chamado Cryptolocker começou a assombrar os EUA. Um alerta chegou a ser emitido pelo US-CERT, equipe norte-americana que lida com emergências na área de segurança virtual, o que mostrou que o caso era de fato bem grave. Mas o que o vírus tinha de especial para chamar tanta atenção, fora o fato de ter se espalhado rapidamente? Simples: ele era um ransomware, tipo de ameaça que sequestra computadores e arquivos, cobrando um resgate relativamente alto para liberá-los.
Mas o termo, que vem de "ransom" ("resgate", em inglês) não é exatamente novo, com menções a ele datadas de pelo menos oito anos atrás. A popularização dos vírus do tipo, no entanto, é bem mais recente: em junho do ano passado, por exemplo, a McAfee notou que o número de malware sequestradores detectados havia dobrado em relação ao mesmo período de 2012. E mais para o final do ano, a ESET viu um aumento de 200% no total de ransomware entre junho e setembro de 2013.
O interessante é que, junto da popularização, houve também um aprimoramento no funcionamento dessas ameaças, como explicou a INFO Raphael Labaca Castro, coordenador de Awareness & Research da ESET na América Latina. Segundo o especialista, esses vírus inicialmente bloqueavam apenas o acesso ao computador, usando uma espécie de tela de login falsa. Você não podia usar o PC, e precisava pagar certo valor para obter o acesso de volta, conta ele. Mas naquele caso, o usuário podia tirar o HD e conectá-lo em outro lugar para acessar os dados.
Foi essa possibilidade que, de certa forma, fez os criminosos melhorarem a ideia por trás do ransomware. O que eles querem hoje é que a informação seja criptografada. Você acessa o computador, seu sistema operacional, mas eles podem pegar uma unidade inteira de HD e bloqueá-la, diz Castro. E para poder abri-la novamente, é preciso usar uma chave, pela qual você precisar pagar um determinado valor dependendo do vírus.
Como funciona o ransomware? A ameaça mais famosa do tipo, o Cryptolocker, entra nas máquinas de forma não muito diferente dos malware tradicionais a partir do phishing. Um e-mail falso, atribuído à FedEx nos EUA, por exemplo, tenta chamar a atenção da possível vítima, que abre a mensagem, baixa um arquivo PDF disfarçado e acaba instalando o vírus ao abrir o documento.
Então, o vírus criptografa alguns arquivos usando uma chave pública (bem forte, de 1024-bits, no caso do Cryptolocker), e emite um alerta ao usuário. E é por ele que o usuário fica sabendo que, se um resgate de determinado valor não for pago até uma data limite, a combinação que liberaria os documentos seria apagada e os itens acabariam perdidos para sempre, provavelmente. O pagamento, aliás, deve ser feito normalmente em bitcoins ou por algum outro método que impeça o criminoso de ser rastreado.
Outros tipos de ransomware De acordo com Castro, a maior parte das ameaças do tipo tem como alvo o Windows, mas pelo fato de ser a plataforma mais usada. Fora o Cryptolocker, um exemplo recente que atingiu (e ainda atinge) o sistema da Microsoft é o BitCrypt2, que segue o mesmo conceito e também usa uma chave de 1024-bits para bloquear arquivos de diversas extensões no HD. O resgate cobrado, no caso dele, girava em torno dos 0,4 bitcoin.
Mas existem ameaças também para Android, que é alvo pelo mesmo motivo do Windows, como acredita o especialista. O caso mais recente e preocupante é o Simplocker, um app malicioso que criptografa arquivos em um cartão SD, cobra um resgate e se esconde usando um servidor hospedado em um domínio na rede TOR. Mas segundo a ESET, empresa que descobriu o vírus, ele não chega perto do tamanho do Cryptolocker em termos de risco, e deve infectar apenas aparelhos que se conectam a lojas que não são a Google Play.
Aliás, o iOS não escapa de ameaças parecidas, como foi visto também há algumas semanas. O caso, no entanto, não era bem um ransomware, nem mesmo uma aplicação. O que os criminosos fizeram ali foi usar senhas e nomes de usuários do iCloud vazados na web para bloquear aparelhos remotamente, explica Castro. É uma função do próprio serviço da Apple, que ainda permitia aos invasores exibir uma mensagem personalizada na tela dos dispositivos hackeados no caso, um pedido de resgate.
Proliferação pelo mundo Até alguns meses atrás, esses vírus sequestradores eram uma preocupação maior na Europa (Rússia, especialmente) e nos Estados Unidos. Mas segundo o especialista, agora podemos dizer que já vimos muitos casos na América Latina.
O principal deles é o de um ransomware que se passava por um alerta do FBI. Ele bloqueava seu computador, exibindo na tela um texto que dizia que seu PC tinha sido travado porque havia pornografia infantil ou ilícita guardada nele, explica o coordenador da ESET. Mas claro que não era o FBI, era só um atacante que usou o logo do órgão.
O alerta emitido ainda dizia que uma multa de 200 dólares precisava ser depositada em uma conta para que a máquina fosse liberada e muitas vítimas de fato fizeram isso para conseguir (ou não) o acesso de volta. Esse caso nós vimos na América Latina, e depois ainda tivemos outro parecido envolvendo a polícia da Argentina, e outro no México. De acordo com Castro, é bem possível que algo parecido ainda aconteça por aqui, mas envolvendo a Polícia Militar ou a Federal, por exemplo.
Qual a solução? Pagar o criminoso para liberar os arquivos é a primeira ideia que vem à cabeça de quem tem o computador infectado. Mas não dá para ter certeza de que o invasor irá, de fato, entregar a chave para desbloquear os arquivos. Você não está falando com uma empresa, e sim com um cara que está roubando seu dinheiro, alerta Castro.
Para ele, o atacante pode simplesmente pegar o valor do resgate e sumir, já que não há uma obrigação real com o cliente. Fora que, quando você paga, acaba ajudando esse crime a se espalhar, diz o especialista. Se eles perceberem que vão receber, vão fazer isso cada vez mais para ganhar ainda mais dinheiro. E por isso que os ransomware estão crescendo.
Prevenção Por não deixar de ser um malware, as táticas de prevenção normais devem ser suficientes para prevenir uma infecção, como afirma o coordenador. O primeiro passo é utilizar uma solução de segurança tradicional, que vai proteger de todo tipo de vírus, inclusive dos ransomware. Mas há algo ainda mais importante do que isso para evitar eventuais transtornos causados por uma infecção por um vírus sequestrador: fazer backup.
Se as pessoas tiverem um backup atualizado dos arquivos, poderão simplesmente formatar o computador sem precisar começar tudo de novo. E ainda vale o alerta: se guardar os documentos em um HD externo, o ideal é mantê-lo longe do computador, especialmente caso você esteja fazendo downloads. Assim, no caso de alguma aplicação maliciosa infectar a máquina, o disco com as cópias de segurança ficará a salvo.
E a prevenção é a melhor forma de combater um ransomware, já que, caso a máquina seja infectada, pode não haver como recuperar os arquivos sem pagar e torcer. Algumas ameaças do tipo podem até usar uma chave de criptografia fraca, que pode ser quebrada por força bruta, ou mesmo simplesmente bloquear os arquivos sem cifrá-los.
Mas cada caso é um caso, como diz o especialista. No do Cryptolocker, eles usam uma combinação tão forte que é praticamente impossível de adivinhar. E aí, só formatando a máquina e recorrendo ao backup mesmo para voltar à normalidade. Nós dizemos que um grama de prevenção equivale a muitos e muitos quilos de infecção, brinca Castro.