Por Melissa Cruz Cossetti, da redação


O "No More Ransom" é o site de uma iniciativa que reúne gigantes no setor de antivírus com um objetivo nobre: recuperar a chave necessária para desbloquear pastas e HDs de vítimas de golpes de vírus ransomware.

O ataque invade servidores e redes com o objetivo de rastrear pastas e documentos importantes para os donos das máquinas, bloquear o acesso ao conteúdo e pedir um resgate — sempre em bitcoins — para devolver o acesso. Como em um sequestro, o dono do PC ou celular é pressionado para realizar o pagamento o quanto antes, sob o risco de perder dados sensíveis e confidenciais.

No More Ransom — Foto: Gabrielle Lancellotti/TechTudo No More Ransom — Foto: Gabrielle Lancellotti/TechTudo

No More Ransom — Foto: Gabrielle Lancellotti/TechTudo

Histórico

Segundo histórico do projeto, a iniciativa nasceu da união de agências de polícia e empresas de segurança que juntaram forças contra atividades criminosas que usam o ransomware como ponto de partida. O projeto nasceu em julho de 2016 pelas mãos da Unidade de Crime de Alta Tecnologia da Polícia Holandesa, do European Cybercrime Centre (EC3) da Europol e de duas já conhecidas empresas de cibersegurança — a Kaspersky Lab e a Intel Security — para ajudar as vítimas a recuperar seus arquivos cifrados sem terem que pagar valores aos criminosos.

Atualmente, fazem parte do grupo nomes como Bitdefender, CheckPoint, Trend Micro, Emsisoft, Elevenpaths, Avast, ESET e CERT-PL. Além de agências policiais de todo o mundo, incluindo a Interpol, com parceiros do setor público e privado.

Ainda que o objetivo do grupo seja ajudar quem foi vítima do golpe, o projeto também tenta educar os internautas sobre como o ransomware funciona e quais as medidas que podem ser tomadas para uma prevenção efetiva. Um recado, a princípio, chama atenção no site: antes de mais nada, não pague aos criminosos.

Ao enviar dinheiro aos cibercriminosos você só está confirmando que o modelo do ransomware funciona, além de não haver garantia nenhuma que irá recuperar a chave necessária para desbloquear os seus arquivos

Então, o que fazer?

Se você está preocupado com ataques do tipo "vírus sequestrador", algumas dicas de prevenção do No More Ramson Project vão ajudar a evitar que isso ocorra.

  1. Tenha um backup dos seus dados;
  2. Utilize um software antivírus, sempre atualizado;
  3. Mantenha também o sistema operacional atualizado;
  4. Não confie. Qualquer e-mail pode conter links e anexos maliciosos;
  5. Observe as extensões: .exe, .vbs e .scr podem executar comandos;

Já fui infectado, e agora?

Infelizmente, em muitos casos, logo que o ransomware é executado no PC, não há muito o que se fazer além da redefinicação da máquina para não deixar vestígios do vírus e a recuperação dos arquivos por backup (cópia de segurança). Caso a vítima obtenha a chave contra criptografia, é possível recuperar os dados. E é justamente pelas chaves que os criminosos cobram quantias em bitcoin.

Para recuperar o acesso aos arquivos cifrados ou dispositivos bloqueados, sem pagar, foi criado um repositório de chaves para diferentes tipos de ransomware (nomoreransom.org/decryption-tools). Vale notar que, no momento, nem todos os vírus do tipo ransomware têm solução. Para os que existem, o grupo informa:

Para estas ameaças de ransomware a batalha acabou. Se o seu sistema foi infetado por algum dos tipos de ransomware listados, clique no respetivo link para saber mais sobre a ferramenta de decifragem disponível

Crypto-Sheriff

Se você não sabe qual o tipo de ransomware afetou o seu dispositivo, o projeto convida o usuário a preencher um rápido formulário que ajudar a verificar se existe alguma solução disponível em curto prazo. Caso exista, um link para essa ferramenta de decifragem já existente será oferecido ao usuário.

Crypto-Sheriff está disponível em: nomoreransom.org/crypto-sheriff.php

Para enviar uma amostra, basta fazer upload de até pastas (o site chama de ficheiros, no português de Portugal). O Crypto-Sheriff também solicita o endereço de e-mail e/ou o endereço do site presente na mensagem de pedido de resgate enviada pelo hacker, exatamente como aparece na tela do seu computador.

Como é possível decifrar uma pasta?

A cifragem de pastas e HDs após ataques de hackers é comum, mas é possível decifrar, segundo o projeto No MoresRansom, nos seguintes casos:

  • Os autores do malware fizeram um erro de implementação, tornando possível quebrar a criptografia. Foram os casos do Petya ransomware e do CryptXXX ransomware.
  • Os autores do malware arrependem-se do dano que causaram com as suas ações e publicam todas as chaves, ou uma chave mestre, como foi o caso do TeslaCrypt.
  • Agências de autoridade recuperam um servidor com chaves e partilham as mesmas. Um caso destes aconteceu com o CoinVault.

Pagar o resgate funciona?

Aos mais desesperados, por vezes pagar o resgate também funciona. Entretanto, não existe garantia de que, ao pagar, o usuário irá conseguir decifrar os arquivos, pastas ou HDs bloqueados. Ou, ainda, que o vírus será removido do computador e que o golpe não vai reincidir na mesma máquina depois do primeiro ataque.

Ainda de acordo com o grupo, ao pagar pelo acesso aos arquivos, a vítima está suportando o modelo de negócio dos criminosos, tornando-se responsável por cada vez mais pessoas serem infetadas com vírus do tipo ransomware.

Um bom antivírus pode ajudar; saiba como escolher

Como escolher um bom antivírus

Como escolher um bom antivírus

WannaCrypt: alguém já pagou bitcoins para ter de voltar arquivos bloqueados por ransomware? Veja no Fórum do TechTudo.

Mais do TechTudo