Ransomware é o tipo de ataque que os cibercriminosos passaram a usar com maior freqüência na América Latina para sequestrar as máquinas dos usuários e das empresas. Esse software malicioso é usado principalmente para extorquir e obter dinheiro de suas vítimas depois de encriptarem os dados do disco rígido do computador ou bloquear o acesso do proprietário ao sistema. Ataques recentes registrados contra empresas brasileiras revelam que os cibercriminosos podem pedir até 4 mil dólares de resgate para desbloquear o acesso aos arquivos.
Normalmente, o Ransomware é instalado através de uma vulnerabilidade no equipamento, depois de o usuário abrir um email de phishing ou visitar um site malicioso criado pelo cibercriminoso. Em ambientes corporativos o ataque se dá de forma remota, principalmente através de acesso RDP (Remote Desktop Protocol). Uma vez instalado o programa encripta o disco da vítima ou bloqueia o acesso ao sistema deixando apenas uma mensagem de "resgate", que pede por uma determinada quantia em dinheiro para decifrar os arquivos ou restabelecer o sistema.
O criminoso mantém sequestrado o equipamento da vítima; em alguns casos mesmo que o resgate seja pago, o usuário poderá não recuperar o acesso ao seu computador.
Este tipo de malware é a cada vez mais popular em todo mundo, embora as mensagens e fraudes variem. Nos países onde a pirataria é um assunto bastante habitual os programas de Ransomware que bloqueiam o acesso ao sistema costumam alertar o usuário para a existência de software ilegal no seu equipamento, exigindo um pagamento pelo original.
"O número de ataques de ransomware na América Latina tem crescido exponencialmente nos últimos meses. Registramos diversos deles contra empresas brasileiras, que tiveram seus servidores comprometidos e os arquivos criptografados" afirma Fabio Assolini, analista de malware da Kaspersky no Brasil. Na Europa ou América do Norte esses ataques exibem pop-ups supostamente pertencentes a "autoridades policiais" que afirmam ter encontrado material pornográfico ou qualquer outro tipo de conteúdo ilegal no computador. Normalmente, é exigido o pagamento de uma "multa" para desbloquear o PC.
Se o usuário quiser evitar que o computador seja infectado por um programa de Ransomware, é necessário instalar uma solução de segurança que identifique as vulnerabilidades e utilize um sistema de detecção de exploits de nível elevado. Em ambientes corporativos várias medidas de proteção podem ser tomadas. "Recomendamos as empresa que tenha um rígido controle dos acessos remotos via RDP, além de reforçar a segurança adicionando uma senha forte na configuração dos softwares de segurança", sugere Fabio Assolini. Ainda segundo o analista, as empresas também devem estabelecer políticas regulares de backup, pois "em alguns ataques não é possível recuperar os arquivos cifrados".
Se o computador já está infectado, os especialistas da Kaspersky Lab sugerem que as vítimas não façam o pagamento da quantia solicitada pelos cibercriminosos, pois isso não é garantia de que os arquivos serão restaurados. A Kaspersky disponibiliza uma ferramenta que pode ajudar a resolver o problema em alguns casos – Kaspersky WindowsUnlocker http://support.kaspersky.com/8005?el=88446. O programa pode ser executado ao inicializar o computador a partir do disco de resgate da Kaspersky Lab.
