Recuperação de Arquivos Criptografados por Vírus Ransomware

O que é o ransomware?

O ransomware é um tipo de malware que criptografa dados e arquivos sensíveis, fazendo com que os proprietários percam o acesso a eles. Esse ataque pode contaminar um único dispositivo, mas também se espalhar por toda a rede, de modo a criptografar um volume ainda maior de dados. A peculiaridade do ransomware é que os cibercriminosos atacam computadores e outros dispositivos e exigem o pagamento de um “resgate” para restabelecer o acesso a esses dados, geralmente em bitcoins ou outras criptomoedas, por meio de transações que não podem ser rastreadas. “Ransom”, em inglês, significa “resgate”, enquanto “ware” é usado em palavras como malware e spyware para denotar programas maliciosos. Assim, podemos concluir que “ransomware” é um software malicioso que exige dos usuários o pagamento de uma recompensa para recuperar o acesso aos seus dados.

recuperar arquivos criptografados

Infelizmente, dados disponíveis no portal Statista mostram que o número de ataques de ransomware em todo o mundo por ano é muito elevado:

  • 2014: 3,2 milhões
  • 2015: 3,8 milhões
  • 2016: 638 milhões
  • 2017: 184 milhões
  • 2018: 204,24 milhões
  • 2019: 187,9 milhões
  • 2020: 304 milhões
  • 2021: 623,3 milhões
  • 2022: cerca de 500 milhões

Nos anos seguintes, o volume de ataques continuou a aumentar de forma alarmante. Em 2021, foram registrados 623,3 milhões de ataques de ransomware no mundo, e em 2022 esse número chegou a quase 500 milhões. Especialistas projetam que a tendência se mantenha, com os ataques dobrando de volume ano a ano em períodos recentes e estimativas de que 76% das organizações poderão sofrer pelo menos um ataque de ransomware por ano.

Porém, fica aqui uma informação importante: o FBI não recomenda o pagamento do resgate em casos de ransomware. Isso não garante que o acesso aos dados será efetivamente restabelecido, além de encorajar os criminosos a procurar mais vítimas e incentivar outros a adotarem essa prática ilegal. Por isso, o ideal é buscar a ajuda de especialistas para auxiliá-lo, como a Bot, que tem mais de uma década de experiência no segmento de recuperação de dados e pode propor a solução mais indicada para recuperar seus dados após um ataque de ransomware.

Qual o objetivo do ransomware?

Assim como em um sequestro, o objetivo do ransomware é fazer com que as vítimas se tornem reféns dos criminosos. Isso causa um grande peso psicológico, além de não haver nenhuma certeza de que o acesso aos dados será restabelecido. O valor que dados sigilosos possuem é muito alto – afinal, podem conter informações delicadas sobre os clientes de uma empresa, dados bancários, planilhas financeiras e uma série de outras possibilidades –, colocando as vítimas numa posição totalmente desfavorável. O susto de se deparar com um ataque de ransomware, somado a essa carga emocional, aumenta as chances de que as vítimas paguem o que foi solicitado. Porém, essa transação não pode ser rastreada, o que dificulta a descoberta de quem está por trás da atividade. Geralmente, os criminosos virtuais não têm tanto interesse nos dados em si; apenas impedem que as pessoas e empresas acessem seus próprios arquivos para que eventualmente consigam obter o valor do resgate.

Como surgiu o ransomware?

O primeiro ataque de ransomware de que se tem notícia foi o “AIDS Trojan”, malware criado pelo biólogo evolucionário Dr. Joseph Popp em 1989. Ele foi enviado em cerca de 20 mil disquetes, nomeados de “AIDS Information Introductory Diskette”, aos participantes de uma conferência da OMS sobre a AIDS. Também chamado de AIDS Info Disk ou PC Cyborg Trojan, ele substituía o arquivo “AUTOEXEC.BAT” do PC. Então, o malware passava a contar o número de vezes que o computador era inicializado e, depois da 90ª inicialização, escondia pastas e criptografava o nome de todos os arquivos do drive “C:”, inutilizando o sistema. A mensagem que aparecia na tela do computador depois da 90ª inicialização era a seguinte:

recuperar ransomware

Fonte: https://upload.wikimedia.org/wikipedia/commons/e/ec/AIDS_DOS_Trojan.png

Para 365 inicializações do seu próprio disco, a vítima teria que pagar US\$ 189, enquanto uma “licença vitalícia” custava US\$ 378. Por curiosidade: considerando o mês de janeiro de 1989, esses montantes teriam o mesmo poder de compra de US\$ 410,48 e US\$ 820,97 em fevereiro de 2021, respectivamente. O conceito de ransomware foi se desenvolvendo com o passar do tempo e tornou-se algo ainda mais letal com a popularização do uso da internet, além de ter dificultado a rastreabilidade dos criminosos com a chegada das criptomoedas.

Como funciona a infecção do ransomware?

O processo pode ser dividido em três passos. O conceito de criptografia de arquivos por ransomware foi inventado e implementado por Adam L. Young e Moti Yung, na Universidade Columbia, e apresentado no Simpósio de Segurança e Privacidade do IEEE em 1996. Chamado extorsão criptoviral, o conceito foi inspirado no segundo estágio do Alien, chamado “Abraçador” (*Facehugger*) no filme homônimo de 1979, e consiste no seguinte protocolo entre o criminoso e a vítima:

  1. [criminoso → vítima] O criminoso gera um par de chaves e embute a chave pública no malware que ele liberou.
  2. [vítima → criminoso] Para prosseguir com a extorsão criptoviral, o malware gera uma chave simétrica aleatória e criptografa os dados da vítima com ela. A chave pública do malware criptografa a chave simétrica, o que é chamado de criptografia híbrida, e resulta em um texto cifrado assimétrico (contendo a chave simétrica criptografada), além de um texto cifrado simétrico com os dados da vítima. A chave simétrica e o texto original são apagados para prevenir a recuperação, e a vítima passa a ver uma mensagem que inclui o texto cifrado assimétrico e instruções de pagamento do resgate. A vítima, então, envia o texto cifrado assimétrico e o dinheiro para o criminoso.
  3. [criminoso → vítima] O criminoso recebe o pagamento, decifra o texto cifrado assimétrico com sua chave privada e então envia a chave simétrica para a vítima, que decifra os dados criptografados com essa chave. Assim, o ataque é finalizado.

Essa complexidade mostra como o sequestro de dados por ransomware é algo muito bem elaborado. Porém, com a ajuda da Bot, você receberá todo o suporte necessário para retomar o acesso aos seus dados da forma mais segura e econômica possível.

Quais são os métodos mais comuns para a distribuição de ransomwares?

Uma ótima resposta para essa pergunta pode ser obtida por meio dos dados disponíveis no portal Statista, que mostram os principais métodos e vulnerabilidades de cibersegurança causadores de infecções por ransomware. Confira:

  • E-mails de phishing ou spam: 54%
  • Más práticas do usuário ou ingenuidade: 27%
  • Falta de treinamento em segurança cibernética: 26%
  • Senhas fracas ou falhas no controle de acesso: 21%
  • Acesso aberto a RDPs (Remote Desktop Protocol): 20%
  • “Clickbaits” (iscas para conseguir cliques): 17%
  • Sites maliciosos ou anúncios na internet: 14%
  • Credenciais de usuário perdidas ou roubadas: 10%
  • Falta de financiamento para soluções de segurança em TI: 8%
  • Falta de apoio dos executivos na adoção de soluções de segurança: 8%

Quais são os tipos de ransomware?

Basicamente, existem dois tipos de ransomware:

Crypto ransomware

Também conhecido como Data Locker, este ransomware criptografa os arquivos armazenados em um computador ou dispositivo móvel visando extorquir a vítima por dinheiro. A criptografia embaralha o conteúdo dos arquivos, tornando-os ilegíveis. O crypto ransomware procura por falhas e brechas nos computadores e dispositivos em busca de dados que não tenham backup. Este é um tipo bem astuto de malware, já que criptografa todos os dados valiosos antes mesmo de se revelar à vítima. Geralmente, ele não bloqueia o computador ou dispositivo inteiro. Por isso, as vítimas ainda podem acessar qualquer área que não esteja criptografada.

Locker ransomware

O locker ransomware, por sua vez, trava e inutiliza todo o computador ou dispositivo móvel. As vítimas são solicitadas a pagar um resgate para liberar o acesso. Geralmente, o sistema bloqueado só permite que a vítima tenha acesso limitado. Algumas partes do teclado podem ficar travadas ou o mouse parar de funcionar, o que instiga a pessoa a fazer o que o criminoso quer. O locker ransomware não costuma infiltrar toda a rede de computadores nem atacar diretamente os arquivos. Por isso, com o suporte de uma empresa especializada como a Bot, as chances de encontrar o malware e removê-lo sem precisar pagar o resgate aumentam significativamente.

Lista de ransomware: quais são os mais conhecidos?

Uma pesquisa do Kaspersky Lab, feita com usuários cujos computadores foram alvo de ataques de crypto ransomware em 2020, mostrou quais foram as principais variantes. (As opções marcadas com * são vereditos genéricos em que provavelmente não se confirmou exatamente qual era o ransomware.)

  • WannaCry / Trojan-Ransom.Win32.Wanna: 16,56%
  • Trojan-Ransom.Win32.Phny (*): 11,56%
  • Trojan-Ransom.Win32.Gen (*): 11,37%
  • Stop / Trojan-Ransom.Win32.Stop: 7,76%
  • Trojan-Ransom.Win32.Encoder (*): 6,66%
  • Trojan-Ransom.Win32.Generic (*): 4,77%
  • Trojan-Ransom.Win32.Crypren (*): 4,07%
  • PolyRansom / VirLock / Virus.Win32.PolyRansom: 2,54%
  • Crysys / Dharma / Trojan-Ransom.Win32.Crysis: 2,21%
  • Trojan-Ransom.Win32.Crypmod (*): 1,83%

Vale notar que esses dados referem-se ao cenário de 2020. Desde então, novas variantes proeminentes surgiram. Em 2022, por exemplo, o ransomware Stop/Djvu foi responsável por cerca de 17% das infecções reportadas, seguido pelo WannaCry (15%):contentReference[oaicite:4]{index=4}. Além disso, grupos de ransomware como o LockBit ganharam destaque; no meio de 2022, o LockBit já aparecia como a família de ransomware mais ativa, com incidência cinco vezes maior que a do segundo colocado:contentReference[oaicite:5]{index=5}.

Além dessas estatísticas, reunimos uma lista de ransomware com alguns tipos bem comuns. Veja só:

  • Bad Rabbit: variante que atacou empresas na Rússia e no Leste Europeu, espalhando-se por meio de uma atualização falsa do Adobe Flash em sites comprometidos. Quando infecta uma máquina, as vítimas são direcionadas a fazer o pagamento de 0,05 Bitcoin.
  • Cerber: focado em usuários do Microsoft 365 na nuvem, já impactou milhões de usuários com uma campanha bem elaborada de phishing.
  • CryptoLocker: um dos ransomwares mais conhecidos, trouxe atenção mundial para esse tipo de malware. Sua rede de bots foi desativada em maio de 2014, mas os hackers conseguiram extorquir aproximadamente US$ 3 milhões das vítimas. A abordagem do CryptoLocker foi copiada por outros ransomwares, embora estes não tenham ligação direta com o original.
  • CryptoWall: ganhou notoriedade após a queda do CryptoLocker. Distribuído por spam ou por kits de exploits, apareceu no início de 2014 e possui uma grande variedade de nomes, como CryptoWall 2.0, CryptoWall 3.0, CryptoBit e CryptoDefense.
  • Crysis: criptografa arquivos em discos fixos, removíveis e em redes, com um algoritmo bem complicado. Geralmente, espalha-se por e-mails com anexos de dupla extensão, que mascaram o fato de se tratar de arquivos executáveis.
  • CTB-Locker: neste ransomware, a estratégia é diferente. Os hackers disponibilizam o processo de infecção para parceiros, em troca de uma parte dos lucros. Essa estratégia permite atingir volumes ainda maiores de vítimas e, assim, infecções mais rápidas.
  • GoldenEye: similar ao Petya, espalha-se por campanhas em larga escala que se concentram em departamentos de Recursos Humanos. Assim que o arquivo é baixado, uma macro é acionada e criptografa arquivos no computador. A cada arquivo criptografado, o GoldenEye adiciona uma extensão aleatória de 8 caracteres. Ele também modifica o Registro Mestre de Inicialização (MBR) do disco rígido do usuário por um bootloader personalizado.
  • Jigsaw: criptografa e, progressivamente, apaga os arquivos até que o resgate seja pago. Um único arquivo é apagado após a primeira hora, numa taxa que aumenta a cada hora até atingir 72 horas, quando todos os arquivos restantes são eliminados.
  • KeRanger: descoberto em um popular cliente de BitTorrent, não é tão disseminado quanto outras variantes, mas é conhecido como o primeiro ransomware totalmente funcional desenvolvido para afetar aplicações do Mac OS X.
  • LeChiffre: diferente de outros, o LeChiffre precisa ser executado manualmente no sistema comprometido. Criminosos analisam automaticamente as redes em busca de desktops remotos com baixa segurança, acessando-os remotamente e, assim, executando manualmente uma instância do vírus.
  • LockerGoga: já atingiu várias empresas europeias, como a Norsk Hydro, tendo se infiltrado na companhia por um e-mail de phishing. Isso causou uma interrupção global de TI e forçou a empresa a comprar centenas de novos computadores.
  • Locky: malware espalhado por e-mail como se fosse uma fatura; ao abrir o anexo, ele aparece ilegível. A vítima, então, é instruída a habilitar macros para conseguir ler o documento e, quando isso acontece, o Locky começa a criptografar grandes volumes de dados com criptografia AES.
  • Maze: descoberto em 2019, tornou-se conhecido por expor dados das vítimas, especialmente no setor de saúde. A Xerox também teve mais de 100 GB de dados roubados em um ataque atribuído ao Maze.
  • NotPetya: inicialmente tratado como uma variante do Petya, pesquisadores acreditam que este malware é na verdade um “wiper”, com o único propósito de destruir os dados em vez de obter um resgate.
  • Petya: diferente de outros ransomwares, o Petya criptografa sistemas inteiros do computador, sobrescrevendo o MBR e impedindo o sistema de inicializar.
  • Ryuk: fez várias vítimas, especialmente ao longo de 2020, sendo usado em ataques que visam empresas, hospitais e órgãos públicos. Ele criptografa arquivos críticos e exige pagamentos altos, geralmente na casa dos milhões de dólares.
  • Spider: distribuído por e-mails na Europa, fica oculto em documentos do Word que instalam o malware no computador quando são baixados. O documento contém vários macros maliciosos e, quando executados, o ransomware começa a fazer o download e a criptografar os dados das vítimas.
  • TeslaCrypt: também usa algoritmos AES e geralmente é distribuído pelo kit de exploit Angler, explorando especialmente vulnerabilidades em softwares da Adobe. Quando uma vulnerabilidade é explorada, o TeslaCrypt se instala na pasta Microsoft Temp.
  • TorrentLocker: geralmente distribuído por campanhas de e-mail focadas geograficamente. Usa o algoritmo AES para criptografar arquivos, além de coletar endereços de e-mail da lista de contatos da vítima para se espalhar pelo computador infectado – uma particularidade do TorrentLocker.
  • WannaCry: muito conhecido, já afetou mais de 125 mil empresas em mais de 150 países. Explora uma vulnerabilidade em máquinas Windows (conhecida como EternalBlue) para se propagar automaticamente pela rede.
  • ZCryptor: malware que se propaga sozinho e exibe um comportamento de “minhoca” (*worm*), criptografando arquivos e infectando dispositivos de armazenamento externo, de modo a se distribuir para outros computadores.

Embora esses estejam entre os tipos mais comuns, existem muitos outros ransomwares, com diferentes características e meios de transmissão – além das novas variantes que continuam surgindo com o passar do tempo.

Quais dispositivos e sistemas os ransomwares podem atacar?

Computadores com Windows, Linux e macOS, além de dispositivos com Android e iOS. Na prática, ninguém é totalmente imune. Uma pesquisa disponível no portal Statista, feita com mais de 1.000 provedores de serviços, perguntou quais sistemas já foram infectados por ransomware (podendo escolher mais de uma alternativa). As respostas foram as seguintes:

  • Windows: 91%
  • Windows Server: 76%
  • Windows Tablet: 8%
  • macOS X: 7%
  • Android: 6%
  • iOS: 4%

O Windows lidera a lista com folga, mas os outros sistemas também estão sujeitos a serem infectados por ransomware.

Como saber se o meu dispositivo está infectado por ransomware?

Não há uma forma definitiva de saber se o dispositivo está infectado por um ransomware, pois cada variante age de maneira diferente. No entanto, alguns sinais servem de alerta, por exemplo:

  • Navegador ou área de trabalho travados, exibindo uma mensagem sobre como pagar para desbloquear o sistema;
  • Pastas com uma “nota de resgate”, geralmente em arquivos .txt;
  • Todos os arquivos passam a ter uma nova extensão após seus nomes originais, como .exx, .zzz, .xxx, .micro, .encrypted, .crypto, .locked, .LOL!, .RDM, .magic, .SUPERCRYPT e assim por diante;
  • Atividades suspeitas que se repetem geralmente no mesmo horário do dia, como se fosse a ação de um vírus.

Caso note algum desses sinais, procure a Bot o quanto antes para uma análise minuciosa do dispositivo. Quanto mais cedo um potencial ataque de ransomware for identificado, melhor.

O que fazer para me proteger contra um ataque de ransomware?

A prevenção é uma das melhores formas de evitar um ataque de ransomware, e as dicas a seguir podem ajudá-lo nesse sentido:

  • Faça backups constantes. Se você for vítima de ransomware mas tiver seus dados salvos, então não terá motivos para se preocupar. O ideal é optar pelo armazenamento em nuvem ou por HDs externos.
  • Tenha cuidado com e-mails e mensagens suspeitas. Se notar algo estranho, entre em contato com a pessoa que supostamente enviou aquele e-mail. Se o remetente for desconhecido, redobre a atenção.
  • Não faça download de anexos de procedência duvidosa. Seja uma planilha, um documento de texto ou um PDF – se você não tiver certeza da origem, o melhor a fazer é evitar abri-lo, pois pode se tratar de uma armadilha.
  • Mantenha seus programas e o sistema operacional atualizados. As atualizações costumam trazer medidas adicionais de segurança, o que é sempre importante para evitar brechas.
  • Elabore um plano de recuperação de desastres. Ter um *Disaster Recovery Plan* (DRP) é fundamental, especialmente para empresas. O plano pode incluir vários passos, como desligar a maior parte da rede, desativar o Wi-Fi e o Bluetooth dos dispositivos e até mesmo alertar as autoridades.

Criptografaram meus arquivos: e agora?

Se você foi vítima de um ataque de ransomware, o ideal é procurar ajuda profissional para evitar mais problemas. Sabemos que esse tipo de infecção causa enormes dores de cabeça, mas contar com profissionais para resolver o problema ajuda bastante. De maneira geral, as vítimas têm três opções quando detectam um ransomware em seu dispositivo:

  • Pagar o resgate e torcer para que os criminosos enviem a ferramenta para decifrar os dados (o que não acontece em cerca de 30% dos casos);
  • Procurar uma empresa especializada em recuperação de dados criptografados que seja reconhecida e tenha resultados comprovados (como a Bot);
  • Restaurar o computador com as configurações de fábrica e perder todos os dados.

É importante não ceder às chantagens dos criminosos. A recomendação é não pagar o resgate, já que os valores são altos, o processo de pagamento é complexo, não há garantia de ter seus dados de volta e o pagamento ainda incentiva esse tipo de crime. Além disso, as outras opções exigem experiência e conhecimento, bem como ferramentas especializadas. Por isso, é crucial buscar ajuda profissional o quanto antes. Se for possível verificar a estrutura dos arquivos afetados pelo ransomware sem muita modificação, as chances de recuperação são maiores.

O que fazer para descriptografar um arquivo?

Caso suspeite que foi vítima de um ataque de ransomware e queira saber como recuperar arquivos criptografados por ransomware, o melhor a fazer é entrar em contato com a Bot imediatamente, já que procedimentos incorretos podem dificultar a recuperação. Este é um processo bastante técnico, que exige uma análise minuciosa de cada caso – algo que deve ser feito por especialistas com muita experiência em recuperar arquivos criptografados.

Remover criptografia de ransomware

Após uma análise da infecção, a remoção da criptografia em um ataque de ransomware deve ser feita com uma ferramenta de descriptografia ou utilizando processos profissionais de edição de arquivos. Existem diferentes ferramentas para diferentes tipos de ransomware; por isso, é importante contar com profissionais que saibam identificá-los corretamente e usar a plataforma adequada para cada caso.

Como funciona a recuperação de arquivos criptografados?

Inicialmente, nossos técnicos analisam a situação para determinar a opção mais segura e econômica para a recuperação dos arquivos criptografados. Todas as possibilidades são avaliadas em um estudo específico sobre o tipo de ransomware, seu funcionamento e as brechas de segurança que ele apresenta. Com isso, saberemos se o processo pode ser revertido para descriptografar os dados. Caso não seja possível, contamos com uma equipe de especialistas que pode fazer uma análise aprofundada na estrutura dos arquivos. A intenção é verificar os rastros deixados durante a infecção, de modo a reconstruir o máximo possível dos arquivos. Todos os procedimentos possíveis serão realizados para aumentar as chances de recuperar seus arquivos criptografados da forma mais eficiente e segura. É muito importante que você procure a Bot o quanto antes, já que alguns ransomwares podem eliminar os arquivos depois de algum tempo. Além do orçamento gratuito (48h), temos também as opções prioritárias (24h) ou com urgência (12h), que agilizam ainda mais os procedimentos. Nossa equipe trabalha 24 horas por dia, 7 dias por semana, 365 dias por ano. Isso significa que você terá todo o suporte de que precisa para sair dessa situação. 99% dos clientes da Bot ficam satisfeitos com o resultado, e a média das avaliações recebidas dos nossos clientes nas redes sociais é de 4,9/5,0. Além disso, temos uma taxa de sucesso de 95% nos casos recebidos, comprovando a qualidade dos serviços prestados. Não perca mais tempo e livre-se rapidamente do sequestro de dados por ransomware com toda a segurança e eficiência que você merece!

Compartilhar:

Posts relacionados