Eu vi um ransomware em ação

Após tanto tempo trabalhando com TI e cobrindo o mundo de TI para o Código Fonte, é claro que eu já tinha ouvido falar de ransomware. Mas acreditava que não passasse de uma “lenda”, um caso raro que acontece aqui e ali, com ataques focados e precisos, o tipo de incidente contado em volta da fogueira entre profissionais de segurança.

Até ver com meus próprios olhos.

Para quem não sabe, o ransomware é um tipo de malware que combina o poder destruidor dos vírus do passado com a mentalidade financeira dos vírus mais modernos. Antigamente, criava-se vírus para espalhar o caos e nomes como Chernobyl, I Love You e Melissa ainda causam calafrios para quem viveu aquela época. Hoje em dia, o objetivo é infectar em silêncio, roubar dados, controlar e se espalhar visando o lucro de seu criador. O ransomware combina o pior dos dois mundos.

O que ele realiza é encriptar todos os arquivos de um determinado tipo na máquina da vítima. Fotos, vídeos, documentos importantes, quando não o sistema inteiro, todos eles se tornam subitamente inacessíveis, bloqueados por uma chave de encriptação que apenas o seu operador conhece. Tentativas de quebrar essa chave podem durar anos ou décadas. Ou séculos. Afinal, a ideia da encriptação é ser inviolável. Mas aqui, ela funciona como um sequestro. Se a vítima não seguir as instruções do hacker e pagar um resgate, o acesso aos seus dados estará perdido para sempre.

E foi o que aconteceu com o computador de minha mãe.

encriptacao

Ela acredita que a infecção se deu antes de Natal, o que eu pude confirmar pela data de alteração dos arquivos afetados: 23 de Dezembro. Ela teria aberto uma mensagem (em Inglês, idioma que ela não domina) que teria caído na Lixeira do Outlook, informando sobre mensagens perdidas no WhatsApp (que ela não usa). Essa sucessão de erros foi desencadeada em uma máquina que dispunha apenas do Windows Defender (que não sei se tentou alertá-la) como forma de defesa e não era atualizada pelo Windows Update desde sabe-se lá quando. Provavelmente nunca.

Fotos do neto, fotos da festa de aniversário de 92 anos de minha falecida avó, vídeos de meu filho brincando, todos os arquivos de texto existentes na máquina. Tudo perdido para o ransomware. Onde antes havia arquivos como “neto-brincando.jpg” ou “sites-bacanas.txt”, agora havia “2ut48go.7h” ou “h742j9lj.kp8”, arquivos que nenhum programa do mundo seria capaz de abrir.

E o recado:

HELP_YOUR_FILES

De uma forma até didática, o sequestrador explica como funciona a criptografia e vaticina: “se você realmente valoriza seus dados, então nós sugerimos que você não perca o seu tempo precioso pesquisando por outras soluções, porque elas não existem”. Instruções de como proceder com o sequestro estariam disponíveis em páginas enterradas na web profunda, endereços que não visitei e não aconselho a ninguém que se aproxime. O hacker chega a oferecer um passo a passo de como acessá-las usando o Tor.

O criminoso cibernético que deve ter disparado o mesmo e-mail de phishing para milhões de endereços de e-mail em toda a Internet foi honesto em um ponto: ao afirmar que não existem soluções. Pelo menos, nenhuma 100% garantida.

A primeira medida que deveria ter sido feita ao constatar a ação do ransomware seria fazer uma restauração de sistema no Windows. Existe uma possibilidade de que o sistema operacional tenha guardado cópias de segurança dos arquivos contaminados, se o próprio usuário não tiver um backup (meus pais não tinham).

Uma boa ferramenta gratuita para explorar o que pode ser recuperado é o Shadow Explorer, que oferece uma visualização rápida das versões de arquivos guardadas pelo Windows em seus pontos de restauração. No caso aqui, não adiantou de nada, não havia mais nenhum ponto anterior a 23 de Dezembro.

Em outros casos, o ransomware também afeta os pontos de restauração, depende da cepa do vírus.

ransomware

De resto, não há outra alternativa. Os especialistas são unânimes em recomendar para não se pagar o resgate. Primeiro, que o pagamento incentiva a propagação do crime, tornando-o lucrativo. Segundo, porque frequentemente os criminosos não soltam a chave que abre os arquivos.

Minha mãe se conformou com a perda. Ela tinha poucos arquivos importantes. Mas eu fiquei imaginando o estrago que uma praga destas poderia causar no meu PC ou no laptop de minha esposa. Numa empresa, os resultados seriam catastróficos.

Como sempre nesses casos, é o tipo de incidente que poderia ser prevenido com educação de segurança, um antivírus atualizado, um sistema operacional atualizado e, em última instância, com uma política de backup remoto regular.

Limpando a área

Uma vez que o PC seria minha estação de trabalho pelos próximos sete dias (e onde escrevo agora esse artigo), não poderia conviver com tamanha praga ao meu lado. E, a experiência diz que onde entra um vírus, entra outro, seja por que eles fazem parte de um kit de infecção seja porque o usuário é vulnerável a iscas.

Executei uma varredura com o Windows Defender, que era o que estava instalado na máquina. Detectou exatamente um vírus e não era o ransomware em questão. Mas era um indício preocupante.

Instalei o MalwareBytes, que já me prestou bons serviços em outras ocasiões, e iniciei outra varredura. Depois de um tempo, seu resultado foi de 23 ameaças, incluindo uma barra de navegador, dois Trojans bancários e o ransomware (ou parte dele).

Em condições normais, o recomendado seria formatar a máquina e recomeçar do zero. Meu tempo e a falta de um CD de instalação do sistema operacional impediam essa abordagem. Mas eu também não iria correr riscos desnecessários.

ransomware-02

Resolvi rodar o ESET Online Scanner por via das dúvidas. Não me arrependi. A ferramenta detectou mais 19 malwares, incluindo aí outro Trojan bancário e mais um pedaço do ransomware.

Como seguro morreu de velho, rodei ainda mais duas ferramentas de segurança, da Trend Micro e o Windows Security Essentials. Como as duas varreduras não retornaram ameaças, concluí com 99% de certeza que a máquina está curada.

Cem por cento de certeza? Em TI? Isso é uma outra lenda, para um outro dia.

Queremos saber sua opinião