Para os utilizadores de computadores, o Ransomware é provavelmente uma das formas mais assustadoras de malware – de repente, o seu ambiente de trabalho é substituído por uma mensagem da polícia, a exigir dinheiro, ou por uma janela que indica que os seus ficheiros serão eliminados a menos que pague um resgate para os desbloquear.
Este é um negócio em expansão, sendo que já no ano passado, o investigador de segurança Brian Krebs informou que os cibercriminosos podiam ganhar até 50.000 dólares por dia, através deste malware.
Actualmente este tipo de ameaças estão em alta em todo o mundo e Portugal não é excepção, já que recebemos solicitações por parte de diversos utilizadores e empresas afectados por este malware. Efectivamente, desde os últimos meses de Verão que se tem registado um aumento na actividade dos Filecoders que encriptam os ficheiros dos presentes nos computadores.
À semelhança do que acontece com outras famílias de troianos, os cibercriminosos que apostam no ransomware Filecoder, experimentam diferentes métodos de introduzirem esta ameaça no computador das vítimas:
- Downloads a partir de sites contaminados com malware
- Anexos de e-mail comprometidos
- Instalação através de outro troiano ou backdoor
- Instalação manual feita pelo atacante através de uma infiltração por RDP
- Outros vectores de infecção
Num dos cenários de infecção, vimos o Win32/Filecoder.Q (e mais tarde os Win32/Filecoder.AA e Win32/Filecoder.W) a espalharem-se por backdoors, como o Poison-Ivy R.A.T. Neste cenário, as vítimas eram enviadas para a backdoor Poison-Ivy através de um email e caso fossem levadas a executarem malware, seria contactado o servidor C&C, aguardando posteriormente pelos comandos. O atacante iria enviar o troiano para a máquina infectada, que não seria guardado como um ficheiro no disco rígido, sendo apenas executado na memória.
Vimos também outros casos, em que o atacante conseguiu instalar o ramsomware Filecoder manualmente nos sistemas através de credenciais RDP comprometidas. Infelizmente, não possuímos informações suficientes acerca da forma como o problema se deu – portas RDP expostas, infecção existente com um keylogger ou ataque bruteforce. Clique aqui para ler um artigo acerca de infecções por RDP.
Sintetizando, o que é importante salientar é que no caso disto acontecer, o atacante ganha acesso total ao computador infectado como se estivesse sentado na secretária, podendo desactivar qualquer protecção antivírus e fazer o que lhe apetecer, incluindo instalar malware. Em alguns casos a instalação manual também é necessária devido ao facto de algumas variantes requererem a interacção do utilizador, por exemplo, para definir a palavra-passe de encriptação.
Abaixo estão algumas dicas que o poderão ajudar.
Não pague
Nenhuma força policial irá bloquear o seu computador e pedir dinheiro – ou seja, a mensagem que surge no ecrã é falsa. Por este motivo, não efectue qualquer pagamento e contacte um técnico de informática para o ajudar a desbloquear o computador, caso não o consiga fazer sozinho.
Por outro lado, se estiver infectado com um filecoder, poderá não haver muito a fazer, mas de qualquer modo, deverá sempre tentar recuperar os seus ficheiros. Contacte um profissional para este efeito.
Atenção à pirataria
Os sites que disponibilizam músicas, filmes ou jogos de forma gratuita poderão estar infectados com malware. Importa salientar que desde o Verão que os cibercriminosos estão a criar sites falsos usando a pirataria e os downloads ilegais como atractivo, de modo a infectarem mais utilizadores. Estes sites aparecem nos lugares cimeiros do Google devido a técnicas de black hat SEO.
Não pense que se desbloquear o computador, já não está infectado
É possível em alguns casos conseguir desbloquear o seu computador, embora isto não signifique que já não está infectado. É provável que o seu computador ainda possua o vírus. Instale um antivírus eficaz e verifique todo o computador.
Se tem cópias de segurança, poderá estar salvo
Os filecoders partem do princípio que tem dados preciosos no seu computador. Da mesma forma que não deixa dispositivos caros e outros bens valiosos no seu carro, não deixe os dados apenas no seu computador. Efectue cópias de segurança para outros dispositivos com alguma regularidade, quer para a cloud usando uma conta, por exemplo, no Dropbox, quer fisicamente para uma pendrive. Se fizer cópias de segurança regulares e com “versioning” estará certamente mais seguro.
Tente salvar os seus ficheiros
A menos que tenha muitos conhecimentos na área da informática, deverá contactar um técnico para o ajudar com os Filecoders. Não tenha esperanças muito elevadas, uma vez que este tipo de ameaças utilizam uma encriptação muito forte, em muitos casos impossível de quebrar. Porém variantes mais antigas utilizam uma chave fraca ou sofrem de uma implementação deficiente e por esse motivo a recuperação pode ainda ser possível.
