Sciam


Clique e assine Sciam
Notícias

Sequestro de arquivos digitais

Um malware chamado de CryptoLocker força usuários a pagar resgate 

Stijn Berghmans/wikimedia commons
 

Por Roni Jacobson

Quanto você pagaria se alguém sequestrasse seus arquivos de computador e exigesse uma taxa para devolvê-los em segurança? US$100? US$1000? Um software malicioso, chamado de CryptoLocker, atualmente está infectando computadores através de anexos de emails que bloqueiam os dados da máquina a menos que o dono concorde em pagar US$300 dentro de 72 horas.

Empresas de segurança cibernética encontraram o CryptoLocker no começo de setembro. O número de ataques aumentou nas últimas semanas, e ontem relataram que uma nova versão do malware dá mais tempo para que as pessoas recuperem seus arquivos – por cerca de US$1600 além do preço original.

Especialistas estimam que o CryptoLocker infecta aproximadamente mil computadores todos os dias, a maioria na América do Norte, no Reino Unido e na Índia. Até recentemente, o malware – conhecido como “ransomware” (algo como “sequestroware”) – não podia ser detectado pela maior parte dos programas antivírus. E, além de pagar o valor do sequestro, atualmente não há como reverter os danos. “É o mesmo que perder seu computador, ou destruir seu disco rígido, ou jogar seu computador no mar. Você nunca vai conseguir seus dados de volta” após seus arquivos serem encriptados, explica Paul Ducklin, diretor de tecnologia da região Ásia-Pacífico da empresa de segurança Sophos.

O malware encripta documentos, arquivos de PowerPoint, imagens, vídeos, planilhas, arquivos de Photoshop, mp3s e outros tipos – basicamente qualquer coisa que um cidadão médio consideraria importante ou com valor sentimental – e pede que os usuários enviem dinheiro pelo Bitcoin ou MoneyPak se quiserem ver seus dados de novo.

Contas do Bitcoin associadas ao CryptoLocker já somaram milhões de dólares, além de quantias não registradas de dinheiro que se presume terem sido coletadas por outros meios. “Tecnicamente, o que o CryptoLocker faz não tem nada de novo”, observa Fabian Wosar, desenvolvedor de segurança da Emsisoft. “Na verdade, esse tipo especial de ransomware, frequentemente chamado de crypto-malware, já existe literalmente há décadas. Ele se tornou mais comum nos últimos anos". 

O CryptoLocker, porém, tem mais sucesso que versões anteriores de ransomware, tanto em termos de números de computadores afetados quanto na força da encriptação. “Aparentemente, a maneira com que esses indivíduos selecionaram suas vítimas levou a um nível de sucesso muito maior do que já se viu antes”, comenta Ducklin. “Será que existe uma rachadura na armadura criptográfica? No momento, até onde sei, ninguém encontrou nada”. De acordo com ele, a única maneira de quebrar a encriptação seria por um ataque “brute force” , gerando chaves de encriptação aleatórias até acertar. Como o nível de encriptação é muito alto, porém, seria preciso muito mais tempo e capacidade de processamento do que as pessoas têm antes de os arquivos serem destruídos.

O CryptoLocker normalmente ganha acesso a computadores por meio de golpes de phishing, que convencem pessoas a abrirem um anexo que se parece com um arquivo pdf, mas que na verdade é “um programa de Windows disfarçado”, explica Ducklin.

Ele também compra o tempo de um bot ou de um zombie (aqueles programas que enviam spam) e os usa para distribuir o software. Uma vez aberto, o malware se instala no disco rígido e tenta acessar o servidor de comando e controle, que gera duas chaves – uma pública que encripta os arquivos, e uma particular que pode desencriptá-los, e que o malware esconde até o usuário pagar o sequestro. Quando o processo de encriptação está completo, um relógio em contagem regressiva aparece com instruções sobre como pagar.

Os programadores responsáveis pelo CryptoLocker esconderam os servidores de comando e controle por trás de vários servidores de proxy, que confundem e redirecionam o tráfico para que seja difícil encontrá-los, e também adicionaram várias camadas de encriptação, tornando o malware praticamente irrastreável.

É possível bloquear o acesso do CryptoLocker ao servidor de comando e controle, e assim evitar que ele inicie o processo de encriptação, ao interromper a conexão com a internet ou mudar as regras de operação de sistema do Windows. Mais de 100 pesquisadores de empresas de telecomunicação, empresas de segurança cibernética como a McAfee, universidades e outros locais formaram um grupo para trabalhar no CryptoLocker para compartilhar informações sobre o malware e desenvolver atualizações de segurança para detectá-lo e impedí-lo de funcionar. Uma vez que seus arquivos tenham sido encriptados, porém, ainda não há como conseguí-los de volta. E quem quer que esteja por trás do CryptoLocker continua a desenvolver novas versões do malware que conseguem escapar da detecção e evitar atualizações recentes de segurança.

Fazer backup de seus arquivos é a melhor maneira de se proteger do CryptoLocker, explicam pesquisadores de segurança, mas mesmo esse método não está à prova de falhas. “Uma vez que tenha infectado uma máquina, o programa pode encriptar arquivos de todo o seu notebook, de seus pendrives, e até encriptar arquivos na nuvem”, como o Google Drive ou o Dropbox, alerta Nick Shaw, CEO da empresa de consultoria informática Foolish IT, que criou uma ferramenta grátis que protege usuários domésticos contra o malware.

O truque é armazenar seus arquivos de backup de maneira remota, para que eles não tenham nenhum tipo de conexão com o dispositivo no momento da infecção, explica Craig Schmugar, pesquisador de ameaças à segurança da McAfee. Outra maneira de se proteger é praticar hábitos seguros de navegação, como evitar links suspeitos e não abrir anexos de email de pessoas desconhecidas. Emails do CryptoLocker normalmente se parecem com mensagens de atendimento de empresas ou organizações como a Better Business Bureau, a FedEx ou a UPS.

Com base em quem está recebendo os emails, Wosar, da Emsisoft, acredita que o malware pode estar visando pequenas empresas que dependem financeiramente de seus arquivos, mas que podem não ter seu próprio departamento de tecnologia da informação e terem ainda menos restrições sobre os emails que chegam, e nenhum filtro para anexos.

O CryptoLocker põe companhias desse tipo em perigo, e muitas parecem estar pagando o sequestro mesmo contra as recomendações de empresas de segurança. “Uma razão para não pagar esses caras é que isso só vai encorajá-los a continuar, e eles vão deixar o programa ainda pior”, declara Joshua Cannell, analista de inteligência de malware da Malwarebytes. “Porque, se o programa estiver trazendo dinheiro, eles obviamente vão continuar a trabalhar nele e colocar mais tempo e esforço nisso”.

Especialistas de segurança, no entanto, reconhecem que “não pagar” não é possível para todos. “Esse mesmíssimo argumento é levantado para o sequestro – nunca pague o resgate, isso só os encoraja”, observa Bruce Schneier, criptógrafo e membro do Centro Berkman para Internet e Sociedade, da Escola de Direito de Harvard. “E o argumento faz muito sentido até seu filho ser sequestrado. Quando são seus dados, você vai pagar se valer a pena”.

Considerando as localizações de servidores que já foram ligados ao CryptoLocker e derrubados, Wosar acredita que os indivíduos podem ser da Rússia. “Isso está funcionando não por causa do programa de computador, mas porque existe um país em que essas pessoas podem operar e um mecanismo de transferência financeira com que eles podem trabalhar. Eu garanto que essas pessoas não vivem nos Estados Unidos, porque o FBI estaria atrás deles rapidinho”, declara Schneier.

Scheneir considera as infecções do CryptoLocker “particularmente graves”, porque elas vão atrás de seus arquivos, mas ele declara que o malware é uma ameaça pequena se comparado a outros vírus e malwares da Web. E enquanto os métodos de prevenção adequados fazem com que evitar o CryptoLocker seja bem fácil, a ameaça em si provavelmente não desaparecerá tão cedo.

Até lá, faça backup.