Quem trabalha com TI e segurança já sabe: não são raros os momentos em que alguém vai tentar aplicar algum golpe online ou agir de má fé contra um site, por isso é importante estar preparado. Em aplicações web existem algumas soluções que auxiliam na gestão de segurança, é o caso por exemplo do SSL – e todas as suas modalidades -, scan de vulnerabilidade, pentest e outras ferramentas mais especificas que ajudam a reduzir as brechas as quais um site pode estar exposto.

Mas e quando o problema surge, não da estrutura de tecnologia, mas, sim, por parte do usuário, aquele que utiliza a internet dentro da empresa?

E-mails, sites de downloads públicos, redes sociais, sites falsos e outros canais são muito utilizados para conseguir atingir exatamente esse público. No caso do uso doméstico, o usuário de internet pode ser orientado de diversas maneiras, mas de qualquer forma, ele assume a responsabilidade por aquilo que acessa.

E quando isso ocorre no ambiente corporativo; qual o risco? Existem vários, como o acesso a dados sigilosos ou de mercado – bancos de dados de clientes, informações de colaboradores, vulnerabilidade do site, enfim, existem várias situações que podem colocar a empresa em risco.

E se essa ameaça puder bloquear máquinas, informações internas e, ainda, solicitar regaste para liberá-los? É exatamente o que ocorre com o ransomware.

Ransoware na prática

Por meio de infecções tradicionais, feitas com anexos maliciosos de e-mails, phishing e sites que distribuem malwares, é realizado o bloqueio de acesso ao computador – ou arquivo – pastas com arquivos de clientes, por exemplo.

Esses arquivos são codificados por uma criptografia forte, que normalmente só pode ser aberta com uma chave específica. Para criar esses bloqueios, geralmente, são utilizados algoritmos RSA-1024 e AES-256, que compactam todos os arquivos em extensões diversas, como .mp3, .lock, .zip – com senha etc.

Utilizando das informações inseridas na máquina, os responsáveis pelo ataque são capazes de identificar meios de falar com o usuário ou administrador da rede, seja por e-mail, chat ou outro canal.

Já existem diversos relatos concretos desse tipo de caso no Brasil e, normalmente, são cobrados “resgates” entre US$ 100 e US$1000, e para facilitar o recebimento e o anonimato, esses valores são pedidos em Bitcoins.

Normalmente,Este tipo de infecção pode vir junto com outros malwares que exploram falhas no sistema para conseguirem infectar o computador. Pode acontecer de serem feitas outras solicitações para liberar o acesso, como preenchimento de formulários ou inserção de dados pessoais.

O problema disso tudo é que não se pode ter certeza que as  as senhas serão encaminhadas, e mesmo quando são, podem não servir para nada, e o que já era ruim – com a invasão, pode ficar pior.

Hoje já são vários tipos de ransomware utilizados em todo o mundo, podemos destacar:

• Cryptowall
• Cryptowall 2
• CryptoWall 3
• help_decripyt
• TeslaCrypt
• Dirty Decrypt
• CryptoLocker
• PowerLocker
• Citroni
• Torrent Locker

Cryptographic Locker

O cuidado mais básicos que precisa ser tomado é resguardar suas informações, fazendo o backup em diferentes mídias, como HDs externos, ou serviços de armazenamento em nuvem. Assim, se algum arquivo for corrompido, existirá um ponto de restauração a recorrer.

No caso de empresas, também é necessário ter políticas internas bem definidas quanto ao uso de e-mail e sites acessados pelos colaboradores. A utilização de antivírus atualizados em todas as máquinas, além do bloqueio de sites que distribuem malware, também precisa ser realizada.

Você já foi atacado por ransomware?

Bom, agora será preciso verificar a possibilidade de recuperação do arquivo. Na verdade existem diferentes formas para que isso seja feito. O Site Blindado labs desenvolveu um material especial dando algumas dicas para a correção específica de cada um dos ransoware, acesse aqui.