Você está aqui: Página Inicial / Notícias / Entenda como um ransomware funciona e como se prevenir

Entenda como um ransomware funciona e como se prevenir

Ransomware, criptografia

Você deve conhecer alguém que pegou ransomware, ou você mesmo foi vítima de um ataque desse tipo. Seus dados são sequestrados, e você precisa pagar um polpudo resgate para tê-los de volta. Depois de ser infectado por um ransomware, você com certeza deve ter se perguntado:

"tem algo que eu possa fazer para ter meus dados de volta sem pagar o resgate?"

 

ransomware

A resposta curta é não.

 

A resposta longa exige que nós entendamos como um ransomware funciona, e porque ainda é melhor investir em prevenção de ransomware do que no seu tratamento.

 

Pense no ransomware como se fosse o HIV, o melhor tratamento é a prevenção.


Ransomware normalmente é disseminado através de emails maliciosos com anexos ou links suspeitos, que se aproveitam de vulnerabilidades no seu computador para infectá-lo. A partir disso, já podemos estabelecer como uma boa prática para prevenção de ransomware manter o sistema operacional e os aplicativos do seu computador atualizados. Outra medida eficaz é desconfiar de emails estranhos, e não clicar em links suspeitos. Saiba mais sobre como conscientizar seus funcionários sobre cibersegurança.

Depois que o ransomware se instalou no seu computador, ele vai modificar algumas entradas no registro do Windows para garantir que ele consiga se comunicar com o servidor do atacante. Depois de instalado, ele estabelece um canal de comunicação com o servidor do atacante, onde ele recebe uma chave pública individual para o computador infectado. Recebida essa chave, ele procede para criptografar seus arquivos.

Vamos parar por um momento para entender como criptografia funciona. A maioria dos algoritmos de criptografia funcionam num esquema de chave assimétrica, contendo uma chave pública e uma chave privada. A grosso modo, a chave pública é conhecida e usada para gerar a mensagem criptografada, e a chave privada é secreta e utilizada para decifrar a mensagem criptografada. No caso do ransomware, a chave pública do atacante é usada para cifrar seus dados, e a chave que você recebe quando paga o resgate é a chave privada que decifra seus dados, permitindo a você recuperá-los.

chave_publica_privada

Contudo, vale ressaltar que a descriptografia de uma mensagem (ou arquivo, ou dado) é algo que é fácil de ser feito apenas se você conhece a chave privada. Caso a chave privada seja desconhecida, que é o caso do ransomware (pelo menos enquanto você não pagar o resgate), a melhor forma de tentar recuperar seus dados é através de um processo de tentativa e erro para descobrir a chave privada.

Vamos fazer uma conta. Suponha que a chave privada tenha um tamanho padrão de 4096 bits. Se você tentar uma chave por segundo, você deve levar cerca de 10 milhões de anos (em média) até acertar a chave privada. Vamos supor que você possua um cluster de 100 computadores de última geração dedicados a encontrar essa chave, e eles consigam testar alguns milhões de chaves por segundo. Ainda assim você levaria alguns séculos para encontrar a chave privada.

Desse modo, o ransomware consegue garantir que você nunca conseguirá encontrar a chave privada para recuperar seus arquivos -- pelo menos não em tempo hábil. Depois dele criptografar seus dados, ele irá se desinstalar do seu computador, deixando apenas o "bilhete de resgate" para trás. Ele te informa que seus dados foram sequestrados, e exibe uma tela sobre o procedimento que você deve tomar para recuperar seus dados.

resgate

Logo, é mais fácil prevenir do que tratar um ataque tipo ransomware. Além da conscientização de usuários, uma boa medida preventiva é usar uma ferramenta própria para prevenção de ransomware, como o Intercept X da Sophos.

intercep_x_banner

O Intercept X monitora os processos em execução na sua máquina e o acesso a arquivos, e quando ele detecta que algum arquivo está sendo modificado, ele cria uma cópia de segurança do arquivo, e caso ele detecte que um processo está criptografando um arquivo, ele interrompe a execução do processo. Depois disso, ele restaura os arquivos a partir das cópias de segurança e alerta o usuário de que um ataque de ransomware foi evitado.

Autor: Matheus Boy
Especialista em Cibersegurança