Ransomware é um tipo de software malicioso que infecta o computador da vítima e bloqueia acesso a certas pastas ou ao computador inteiro, exibindo então uma mensagem de pedido de resgate, exigindo pagamento para que o acesso ao computador seja liberado.

Essa praga se espalhou como erva daninha a partir de 2012 e o problema tende a piorar nos próximos anos. A facilidade com que os ransomwares se espalham se dá tanto devido a inabilidade de muitos pacotes anti-vírus de detectarem esse tipo de ameaça quanto à ingenuidade dos usuários. Muitos ransomwares apenas abrem pop-ups (janelinhas) na tela do usuário. Alguns exibem mensagens dizendo que o computador está infectado com vírus e malwares (mentira) e que o usuário precisa fazer o download de um software (esse sim é problema!) para limpar o computador. Em outros casos, a mensagem pede que o usuário faça um cadastro e pague uma taxa para ter seu computador limpo. Há também táticas em que o ransomware abre uma página que se assemelha a um órgão governamental ou autoridade legal que diz que o usuário foi pego fazendo alguma atividade ilegal. Geralmente a mensagem não diz o que, mas o usuário ingênuo pode pensar que seus downloads de música, suas visitas à dark web ou seus filmes pornô são o problema e com medo, acaba pagando o que o ransomware está pedindo. Os pagamentos geralmente são solicitados em moeda não rastreáveis como bitcoin ou MoneyPak, mas em muitos casos, os criminosos solicitam o número de cartão de crédito da vítima, que é então clonado ou utilizado.

Os piores tipos de ransonware são aqueles que bloqueiam acesso ao computador ou a certos arquivos. O usuário desesperado não vê outra alternativa senão pagar o que está sendo solicitado. O problema é que não há garantia alguma de que após o pagamento os arquivos serão de fato liberados. Por esse motivo, é sempre recomendado utilizar backups (mais de um se for possível, incluindo um inteiramente offline). Na ocasião de ransonware, basta mandar o criminoso pastar e formatar o computador.
Hoje em dia as maiores vítimas de ransonware têm sido grandes empresas, hospitais, escolas e órgãos governamentais. Esses casos obviamente são muito mais complicados do que ter um backup e formatar os computadores afetados. Uma situação dessas pode gerar caos e grandes prejuízos, mesmo que um backup exista. Por esse motivo, é importante o treinamento de funcionários para que não cliquem em links em e-mails e não abram páginas na internet que não são confiáveis (ou conhecidas). Os criminosos contam com a ingenuidade das pessoas que clicam em links ou abrem anexos em e-mails enviados por pessoas de confiança. Essa, aliás, já é a forma preferida de hackers para espalhar vírus desde o início da internet. Mais de 25 anos depois, seria de se esperar que as pessoas teriam aprendido a lição, não? Mas não, a estratégia está mais viva e ativa do que nunca.

Charles Carmakal, vice-presidente da gigante de segurança cibernética Mandiant, diz que essa é uma tendência que não vai diminuir nos próximos anos, pelo contrário, ela só tende a aumentar. Ao contrário do que ocorreu com vírus e malwares comuns que hoje em dia são bloqueados facilmente por softwares antivírus, ransonwares são mais espertos e sorrateiros, voando por baixo dos radares dos antivírus, principalmente porque são atualizados mais rapidamente do que o banco de dados dos softwares antivírus. A tendência de antivírus de acusar muitos resultados falso-positivos (quando acusam aplicações legítimas de serem perigosas) acaba deixando usuários descrentes de que o software funciona como deveria e acabam manualmente liberando algo que é na verdade malicioso.

Carmakal diz que as gangues de ransonware hoje em dia já se profissionalizaram bastante. Muitos desses grupos já nem se focam mais em usuários domésticos, escolhendo alvos grandes como empresas, hospitais e órgãos governamentais, estudando e planejando o ataque por bastante tempo e criando uma aplicação específica para aquele “projeto”, tornando impossível a identificação do ransonware por softwares antivírus (porque aquele código malicioso é novo, criado só para invadir aquele sistema e não existe no banco de dados do antivírus). Esses ataques podem gerar muito dinheiro. Dentre as vulnerabilidades que muitas dessas empresas atacadas possuem é (pasmem!) ausência de backup, usuários que clicam em links e abrem anexos mesmo tendo sido instruídos para não fazê-lo, e sistemas desatualizados. As soluções são complexas e caras e muitas dessas organizações não possuem recursos para se prevenir contra esses ataques. Em muitos casos, argumenta Carmakal, o melhor a fazer por enquanto é insistir com os funcionários que não cliquem em links ou abram anexos, mesmo que venham de pessoas de confiança, e não visitem sites por motivos pessoais (que podem não ser confiáveis). Se a empresa possui um departamento de TI é possível bloquear essas atividades nos computadores dos funcionários e conseguir mitigar um possível ataque.



Palavras-chave: antivirus, malware, ransonware, segurança cibernética, segurança da informação