Ransomware

Ransomware (do inglês ransom para " ransom "), também trojans de chantagem , software de chantagem , trojans criptográficos ou trojans criptografados , são programas maliciosos com a ajuda dos quais um invasor pode impedir que o proprietário do computador acesse os dados, seu uso ou todo o sistema do computador . Os dados privados no computador estrangeiro são criptografados ou o acesso a eles é impedido, a fim de exigir um resgate para descriptografia ou liberação.

O nome é composto por resgate , a palavra inglesa para resgate, e ware , de acordo com o esquema de nomenclatura comumente usado para vários tipos de programas de computador ( software , malware etc.). De acordo com a Kindsight Security, havia cerca de 123.000 novas variantes no segundo trimestre de 2012 .

história

Texto da tela do Trojan AIDS de 1989

Texto da tela do worm de computador WannaCry de 2017

A ideia remonta a 1989, quando o cavalo de Tróia AIDS foi enviado para várias instituições de pesquisa em disquetes. Depois de um tempo, o programa criptografou os dados no disco rígido. De acordo com a mensagem na tela, a licença estava vencida. Foi mencionado o nome de uma empresa e um endereço de caixa postal no Panamá para o qual um cheque deve ser enviado para comprar uma chave de licença e liberar os dados. O procedimento, portanto, não foi imediatamente reconhecível como chantagem. O autor do crime, o biólogo Joseph L. Popp Jr. , pode ser condenado. Por causa de uma doença mental, a investigação contra ele foi encerrada.

O primeiro malware capaz de criptografar arquivos foi o vírus do setor de inicialização Disk Killer . O programa malicioso não foi projetado para chantagem, mas tinha como objetivo causar perda de dados em sistemas de servidor. Também foi publicado em 1989, de acordo com a assinatura que foi escrita antes do Trojan da AIDS. Nem todo ransomware criptografa dados; programas mais simples desse tipo bloqueiam o computador usando métodos diferentes.

Uma das primeiras tentativas conhecidas de espalhar ransomware pela Internet foi realizada por criminosos cibernéticos em 2005 com o trojan TROJ_PGPCODER.A . Os afetados devem pagar várias centenas de dólares americanos para descriptografar os dados . Desde que as criptomoedas foram estabelecidas, a transferência de dinheiro se tornou muito mais fácil e sem riscos para os perpetradores. Como resultado, houve um aumento maciço de crimes envolvendo ransomware em quase todo o mundo por volta de 2010.

No relatório de crime da polícia do estado de Saxônia-Anhalt de 2011, um caso é mencionado como exemplo. Um perpetrador infectou 831 computadores neste estado com software de chantagem.

Enquanto isso, sistemas modulares pagos e gratuitos, os chamados kits de crimeware , que aparecem em fóruns clandestinos, podem ser criados com a ajuda de ransomware.

Em 2016 apareceu o cripto Trojan Locky , que infectou dezenas de milhares de PCs e, entre outras coisas, o Instituto Fraunhofer em Bayreuth. O criptovírus Tesla X3 atacou, entre outros, em fevereiro de 2016. Computador da Câmara Municipal de Rheine . De acordo com o Escritório de Polícia Criminal do Estado da Renânia do Norte-Vestefália , 156 denúncias de ataques por ransomware foram feitas de 1 de dezembro de 2015 a 29 de fevereiro de 2016 , suspeita-se que o número de casos não relatados seja muito maior. 113 empresas e instituições foram afetadas, incluindo várias clínicas e o Ministério do Interior e Assuntos Locais do Estado da Renânia do Norte-Vestfália em Düsseldorf, que sofreu um atentado em dezembro de 2015.

KeRanger, uma variante de um trojan criptográfico para OS X , foi encontrado em março de 2016 . No início de junho de 2016, o Fraunhofer Institute for Secure Information Technology anunciou que os smartphones também podem ser afetados por ransomware, especialmente se estiverem equipados com aplicativos de segurança que contenham falhas de segurança , conforme encontrado pelo Fraunhofer Institute em todos os sete exemplares testados aplicações e foram relatados ao respectivo fabricante para retificação.

Em maio de 2017, WannaCry atacou várias grandes empresas globais em um tempo muito curto; mais de 230.000 computadores em 150 países foram infectados. Devido a essas dimensões, o Serviço de Polícia Europeu descreveu o surto como um evento sem precedentes. Além da distribuição normal por meio de anexos de e-mail, o WannaCry tem propriedades de worm e tenta infectar ativamente outros computadores por meio de falhas de segurança em sistemas operacionais sem a intervenção do usuário. Os sistemas atualizados (abril de 2017 na Microsoft) não foram afetados. Certos serviços de arquivo e impressora precisam ser liberados, o que significa que o WannaCry foi capaz de se espalhar, especialmente em redes de dados internas da empresa com sistemas de computador que às vezes ficavam com defeito por um longo tempo.

Em julho de 2021, os cibercriminosos exploraram uma vulnerabilidade de segurança no software para servidores VSA da Kaseya. O software de manutenção remota foi manipulado para instalar o Trojan Sodinokibi.N . Isso criptografou os dados na rede. Uma associação de hackers russa chamada REvil é aparentemente responsável pelo ataque cibernético .

Nesse ínterim, os criminosos de ransomware começaram não apenas a criptografar os sistemas de suas vítimas e exigir um resgate pela descriptografia, mas também a desviar dados confidenciais de clientes e empresas e ameaçar publicá-los ("dupla extorsão").

Procedimento das pragas

O ransomware pode entrar em um computador da mesma forma que um vírus de computador . Esses métodos incluem anexos de e-mail preparados , explorando lacunas de segurança em navegadores da web ou por meio de serviços de dados como o Dropbox .

Captura de tela da versão alemã da nota de resgate de Locky

Captura de tela do Goldeneye Ransomware em dezembro de 2016

Por exemplo, e-mails são enviados informando que um arquivo ZIP anexado contém uma fatura ou uma nota de entrega para as mercadorias que foram solicitadas. Às vezes, também é alegado que a Polícia Federal Criminal , a Polícia Federal , o GEMA ou a Microsoft detectaram atividades ilegais no computador e o bloquearam.

Um computador comprometido pode ser bloqueado de diferentes maneiras.

Bloqueio do sistema

Tentativas mais simples e inofensivas de chantagem são expressas apenas em uma janela de mensagem que aparece a cada inicialização regular do sistema e não pode ser fechada. O gerenciador de tarefas também está bloqueado. Os usuários de PC inexperientes não sabem como acabar com esse bloqueio. A única saída parece ser pagar o resgate, por exemplo, comprando um cartão Paysafecard ou Ukash . O valor é creditado ao chantagista digitando o número do voucher do sistema de pagamento no PC infectado, que é então comunicado eletronicamente ao perpetrador. A criptomoeda Bitcoin é usada como outro método de pagamento anônimo .

Criptografia de documentos

Variantes maliciosas de ransomware, em particular, têm um potencial maior de danos: elas criptografam arquivos no computador; preferencialmente arquivos que são considerados muito importantes para o proprietário do computador e possivelmente irrecuperáveis. Em sistemas Windows , o ransomware, portanto, geralmente inicia na pasta Meus Documentos e prefere documentos criados lá com aplicativos do Office , bem como, entre outras coisas. também e-mails, bancos de dados , arquivos e fotos. Sem uma senha de descriptografia, o usuário não tem mais acesso ao seu conteúdo. Ao contrário do spyware , nenhuma grande quantidade de dados é movida aqui.

Para poder descriptografar os dados criptografados pelo ransomware novamente, o usuário comprometido é solicitado pelo invasor a pagar um resgate para que possa receber o software para descriptografia ou a senha necessária . Às vezes, ele primeiro é solicitado a entrar em contato com o produtor do ransomware separadamente, por exemplo, por e-mail para um endereço de e-mail específico, acessando um site específico ou usando um formulário. Os criminosos costumam ameaçar que todos os dados serão destruídos se eles entrarem em contato com a polícia.

O computador infectado pode ser posteriormente manipulado e monitorado pelo malware; portanto, não deve ser usado para trabalho posterior, em particular para atividades que exijam uma senha. Transferir o resgate do computador afetado por meio de banco on-line deve ser considerado negligência grave .

Em alguns casos, o invasor nem mesmo tem a opção de descriptografar os arquivos criptografados, de modo que esses arquivos são irrevogavelmente perdidos, a menos que exista uma cópia de backup dos arquivos criptografados.

Proteção e contramedidas

O Centro Nacional de Cibersegurança da administração federal suíça tem recomendações publicadas para usuários particulares e empresas em seu site:

• Backups regulares de dados em uma mídia externa que é conectada apenas ao computador durante o processo de backup. Se a unidade de backup permanecer conectada, o ransomware ativo também pode destruir o backup de dados.
• Mantenha o sistema operacional atualizado, instale as atualizações rapidamente.
• Tenha cuidado com e-mails que vêm de remetentes desconhecidos. Os links podem levar a sites com malware; os arquivos anexados podem conter malware.
• Instale proteção antivírus e atualize regularmente.
• Use um firewall .

O Escritório Federal Alemão de Segurança da Informação publicou uma análise de situação em que extensas recomendações sobre proteção e contra-medidas são listadas, bem como o comportamento recomendado no caso que ocorreu. A análise é destinada a usuários profissionais e gerentes de TI em empresas, autoridades e outras instituições. O site No More Ransomware é uma iniciativa da Unidade Nacional de Crimes de Alta Tecnologia da Polícia Holandesa, do Centro Europeu de Crimes Cibernéticos da Europol e de duas empresas de segurança cibernética com o objetivo de explicar o ransomware aos usuários, recomendar contramedidas para prevenir eficazmente a infecção, além de ajudar o ransomware as vítimas os descriptografam.

Outra contramedida é o uso de sistemas de arquivos apropriados que não removem os dados originais imediatamente ou não os sobrescrevem. Pode ser um sistema de arquivos de controle de versão, como NILFS no Linux. Outra possibilidade é o uso de serviços do sistema, como Volume Shadow Copy Service que continuamente faz snapshots ((VSSS) em snapshots em inglês do Windows ) Cria arquivos para alteração e assim salva o histórico da versão. Também é possível usar sistemas de arquivos extensos, como ZFS, em sistemas de armazenamento. O ZFS oferece a possibilidade de criar instantâneos protegidos contra gravação do sistema de arquivos completo periodicamente e em intervalos curtos de alguns minutos, mesmo com sistemas de arquivos muito grandes, e salvar esses instantâneos no sistema de arquivos de forma protegida contra gravação. Quando configurados apropriadamente, os sistemas de arquivos como o ZFS são amplamente imunes a ransomware.

Conselhos para os afetados

A primeira medida a ser tomada quando uma infecção de computador é detectada é desligar o computador imediatamente e forçosamente ( não “desligá-lo”, desconectá-lo da fonte de alimentação!) - mesmo que a janela do ransomware “proíba” isso, para que tantos arquivos não criptografados quanto possível permanecem não criptografados. As próximas etapas podem ser pesquisadas em outro computador não afetado.

Embora, de acordo com uma pesquisa de 2010, cerca de um quarto das vítimas pagaria um resgate, o Escritório Federal de Segurança da Informação (BSI) também aconselha não atender às demandas. Mesmo depois de pagar o resgate, não é certo se os dados serão realmente descriptografados. Uma vez que a disposição da vítima em pagar também seria identificada, outras reivindicações não podem ser descartadas. Ao pagar com cartão de crédito , o perpetrador também teria acesso a outras informações privadas. É aconselhável registrar uma reclamação.

O acesso aos dados foi impedido para o malware, que foi generalizado entre 2011 e fevereiro de 2012, mas nenhuma criptografia ocorreu. Os programas antivírus disponíveis comercialmente foram capazes de remover algumas dessas pragas. Programas gratuitos como o Malwarebytes Anti-Malware ou Avira eram suficientes para isso. Toda limpeza, descriptografia e outras medidas devem ser realizadas a partir de um “sistema limpo” - nunca “do próprio sistema operacional afetado”.

Em alguns casos, os pesquisadores de segurança conseguiram quebrar o ransomware e fornecer ferramentas de descriptografia com as quais os dados criptografados podem ser descriptografados novamente. Em fevereiro de 2016, por exemplo, foi possível quebrar a criptografia do TeslaCrypt 2 até a versão 2.2.0. Em abril de 2016, a criptografia do trojan de extorsão Petya (versão até dezembro de 2016) foi quebrada. O software hack-petya gerou uma chave com a qual os dados poderiam ser descriptografados novamente.

Em alguns casos, a recuperação de dados também é possível após a criptografia:

• Alguns ransomware criptografam apenas o início dos arquivos. Em muitos casos, os arquivos afetados ainda podem ser reconstruídos, especialmente com arquivos com uma capacidade maior ( por exemplo, bancos de dados ou arquivos compactados ).
• Em alguns casos, a chave para a criptografia usada ainda pode ser encontrada no portador de dados usando métodos de computação forense e os dados podem, portanto, ser descriptografados.
• A reconstrução de arquivos excluídos é possível em muitos casos. Ao editar documentos em particular, os arquivos temporários são freqüentemente criados e, em seguida, excluídos. Até o momento, os documentos excluídos geralmente não são criptografados por ransomware.
• Os backups de dados no NAS não são criptografados por ransomware, embora as alegações sejam feitas em muitos casos, mas apenas excluídas e as áreas iniciais são substituídas por dados aleatórios. Uma recuperação de dados geralmente também é possível aqui.

Links da web

Wikcionário: Ransomware  - explicações de significados, origens de palavras, sinônimos, traduções

• Dossiê de situação de ransomware In: Federal Office for Information Security (BSI), 7 de julho de 2016.
• Ransomware: cenário de ameaças, prevenção e resposta. In: BSI, 11 de março de 2016.
• Gerald Himmelein: WannaCry & Co.: Como se proteger - heise online. In: heise.de. 15 de maio de 2017. Recuperado em 15 de maio de 2017 . 
• Determinação de ransomware:
  • id-ransomware.malwarehunterteam.com
  • nomoreransom.org - Crypto Sheriff da Europol e da Polícia Holandesa
  • bleib-Virenfrei.de - lista de ransomware incluindo descriptografador
• botfrei.de : Centro de Aconselhamento Anti-Botnet
• Escritório Federal de Segurança da Informação: Descrição: Trojan.Gpcoder, atividades e recuperação. 22 de maio de 2005, arquivado do original em 16 de fevereiro de 2008 ; Recuperado em 3 de janeiro de 2013 . 
• Security-Insider.de, Stephan Augsten: Como o ransomware é desenvolvido e distribuído. 2 de novembro de 2015, acessado em 3 de novembro de 2015 . 
• heise.de: Goldeneye Ransomware: Reconheça a ameaça, avise os funcionários, evite infecções. 7 de dezembro de 2016, acessado em 13 de dezembro de 2016 . 

Evidência individual

1. ↑ pc-gesund.de: The PC Gesund Malware Report 2012: Resumo: Ransomware - the malware innovation. (Não está mais disponível online.) Em: pc-gesund.de. 2012, arquivado do original em 22 de novembro de 2012 ; acessado em 18 de janeiro de 2021 . 
2. ↑ Comunicado de imprensa - Estatísticas de crimes policiais 2011. PM No.: 015/2012. In: sachsen-anhalt.de . Ministério do Interior e Esporte do Estado da Saxônia-Anhalt , 27 de fevereiro de 2012, acessado em 18 de janeiro de 2021 . 
3. ↑ ^{a b} PC World Pocket : Blackmail Virus from the Construction Kit, 7/2012, p. 22
4. ↑ Mais de 5.000 infecções por hora na Alemanha. Recuperado em 19 de fevereiro de 2016 . 
5. ^ Westfälische Nachrichten : vírus paralisa a prefeitura de Rheine , Westphalia, Rheine, mas, 2 de março de 2016
6. ^ ^{A b} Westfälische Nachrichten : Alarme na Internet: Escritório de Polícia Criminal do Estado alerta sobre ataques cibernéticos massivos , primeira página, Düsseldorf / Münster, Hilmar Riemenschneider, Elmar Ries, 9 de março de 2016
7. ↑ Westfälische Nachrichten : A guerra do hacker: a extorsão cibernética está passando por um novo boom / Os criminosos também encontram vítimas em Münsterland , Westphalia, Münsterland, Elmar Ries, 9 de março de 2016
8. ↑ Novo OS X ransomware KeRanger infectado via Transmission BitTorrent Client Installer. Recuperado em 6 de março de 2016 . 
9. ↑ Westfälische Nachrichten : aplicativos de segurança para dispositivos Android podem ter brechas , Serviço, dpa , 4 de junho de 2016
10. ↑ O crime cibernético está crescendo - graças ao Corona. Deutsche Welle, acessado em 31 de maio de 2021 . 
11. ↑ ^{a b c} PC World Pocket : Os vírus da chantagem estão chegando , Arne Arnold, Moritz Jäger, 7/2012, p. 24
12. ↑ Heise : Bot está chantageando usuários do Facebook , 19 de janeiro de 2011
13. ↑ Trojan de criptografia. In: admin.ch , acessado em 1 de dezembro de 2020.
14. ↑ bsi.bund.de: Ransomware - Threat Situation , Prevention & Response , 2016, acessado em 29 de agosto de 2018 (PDF).
15. ^ Site No More Ransomware
16. ↑ Derrotando ataques do CryptoLocker com ZFS. 10 de setembro de 2015, acessado em 6 de julho de 2021 . 
17. ↑ Gulli.com, Pesquisa de ransomware: Around a Quarter Would Pay Ransom , 17 de julho de 2010
18. ↑ Westfälische Nachrichten: Ajuda após chantagem com malware , dpa, 30 de maio de 2016
19. ↑ Heinl et al.: AntiPatterns Com relação à aplicação de criptográficas primitivas pelo Exemplo de resgate ware. In: Anais da 15ª Conferência Internacional sobre Disponibilidade, Confiabilidade e Segurança (ARES '20). Agosto de 2020, acessado em 27 de agosto de 2020 . 
20. ↑ Dennis Schirrmacher: Trojan de criptografia TeslaCrypt 2 crackeado; Atualização de criminosos. In: Heise Security. Heise Medien GmbH & Co. KG, 5 de fevereiro de 2016, acessado em 9 de fevereiro de 2016 . 
21. ↑ Dennis Schirrmacher, Jürgen Schmidt: TeslaCrypt 2.0 descriptografado. In: Heise Security. Heise Medien GmbH & Co. KG, 5 de fevereiro de 2016, acessado em 9 de fevereiro de 2016 . 
22. ↑ Helmut Martin-Jung: Cavalos de Troia de chantagem rachados: as vítimas obtêm dados de volta. In: Sueddeutsche.de. 12 de abril de 2016, acessado em 2 de fevereiro de 2018 . 
23. ↑ Recuperação de dados Attingo: A recuperação de dados ransomware é possível. Recuperado em 11 de maio de 2021 .