Como apagar um ransomware? Seus arquivos foram perdidos para sempre?

por Marcos Elias

Já ouviu falar de ransomware? Já pegou um? Tomara que não! Esse é o pior tipo de vírus que poderia existir. Não é novo, mas nos últimos anos tem atacado com força…

O que é exatamente um ransomware?

Um ransomware é um malware que sequestra seus arquivos e pede resgate para liberá-los. Basicamente isso. Você liga o computador e não consegue mais acessar suas fotos, vídeos, documentos, planilhas, saves de jogos, criações…

Os bandidos pedem um resgate, normalmente em Bitcoin (aquela moeda polêmica geralmente associada à criminalidade, ainda que por si só seja inofensiva). Não há garantias de que você terá os arquivos de volta se pagar, já que estará negociando com bandidos. Mas geralmente eles cumprem o que prometem.

ransomware

Exemplo de um dos ransomwares mais famosos

Como se livrar do ransomware?

Não é fácil, na verdade pode ser até mesmo impossível! A melhor coisa é se prevenir, como vou comentar a seguir.

Depois de infectado por um ransomware você está ferrado. Se não tiver backup dos arquivos, adeus! Poderá ter perdido tudo para sempre. Ou terá que pagar, sem saber se irá recuperar de fato… Normalmente eles cumprem a palavra e liberam a chave.

Chave? É, uma espécie de chave de criptografia. Uma senha gigante. Sabe quando você coloca senha em alguma coisa? Quanto maior, mais difícil de descobri-la. Tentativa de força bruta (testar todas as combinações possíveis) pode ajudar em chaves pequenas, mas para chaves grandes fica inviável… Geralmente este tipo de vírus usa senhas longas, com letras e números embaralhados. Nem o melhor supercomputador conseguiria descobri-las em tempo hábil.

E para piorar, não se sabe como os arquivos foram codificados. Muitos programas usam métodos próprios e sofisticados, criptografia de alto nível mesmo. Se você testar muitas vezes uma senha errada eles podem apagar seus arquivos pra sempre. E ‘desmontar’ e ver o código destes programas para quebrar a criptografia não é tão simples.

Empresas de antivírus têm tentado, e algumas conseguiram fazer ‘descodificadores’ para alguns ransomware comuns – os mais fracos. Os mais sofisticados não têm como ser burlados: pague o resgate confiando que receberá os arquivos, ou dê adeus às suas memórias e trabalhos digitais.

Como que o ransomware ataca o computador?

Os ransomwares são programas como outros quaisquer: um executável que pode ser baixado de diversas formas. E-mails desconhecidos com anexos ou links se passando por algo importante… Esta é uma das táticas mais usadas. Vale aquelas coisas que dizem desde 1900 e bolinhas: não saia clicando em tudo o que você vê pela frente! Especialmente em links de executáveis, arquivos .exe, .scr, .bat, .sh ou .com (que no Windows são executáveis; não confunda com a extensão de domínios dos sites .com, por favor rs).

Além dos e-mails e mensagens falsas, muita gente cai em propagandas enganosas que aparecem em alguns sites, redes sociais, Facebook… E também sites de torrent e de conteúdo adulto. Não que todos os sites tenham isso, jamais generalize. Mas eles são um prato cheio para estes criminosos.

Um meio mais problemático de infecção se dá pela invasão de sites honestos, sem que o dono perceba. Isso infelizmente também é comum, apesar de mais difícil. Você entra num site conhecido e, se ele estiver infectado… Pronto, seu PC pode ter sido vítima de um vírus.

Normalmente isso ocorre ao usar navegadores e plugins lixos ou desatualizados, como Internet Explorer com Java ou Flash (veja meu artigo recente sobre falhas em plugins e navegadores lixos). Há uma tendência de abandono dos plugins Java e Flash, e acho isso muito bom. Historicamente estas duas ferramentas demonstraram milhares de brechas que permitem que o PC seja invadido remotamente, apenas por visitar um site.

Outra coisa que não recomendo também é instalar mil e uma extensões no navegador, pois algumas são maliciosas e se passam despercebidas entregando alguma outra utilidade. Em geral as extensões do navegador podem mais facilmente roubar seus dados (login, senha etc) do que instalar programas tipo ransomware; mesmo assim é bom se prevenir.

Qualquer extensão que pede acesso aos dados de navegação eu não instalo no meu navegador principal. Se você realmente precisa duma extensão dessas, recomendo usar um navegador secundário só para isso. Por exemplo, uso o Chrome para uso diário sem extensão nenhuma; e o Firefox com as extensões que preciso. Só uso o Firefox quando então preciso MESMO de alguma das outras extensões. Poderia ser o contrário, se você preferir usar o Firefox no dia a dia. Ou então poderia usar dois Chromes, instalando por exemplo o Chrome Canary, que é uma versão de testes que pode ser mantida lado a lado com a principal – os favoritos, históricos, senhas e extensões de um não interferem com o outro.

Apesar de não parecer que as extensões instalem diretamente malware, elas podem roubar seus dados e depois enviar spam para seus amigos como se fosse você. Algumas fazem isso com o Facebook e e-mail. É bom ficar ligeiro!

Fui vítima ransomware sem querer… O que fazer?

Se seus arquivos estão bloqueados e um programa exige um pagamento para liberar a senha… O que fazer?

Se você tem backup em outro lugar protegido, formate o computador e restaure a partir do backup. Sem formatar você não estará seguro, já que o vírus pode estar escondido nas partes internas do sistema – não adianta fazer outra conta de usuário se ele foi instalado nas pastas de programas do sistema como administrador, por exemplo.

Se você não tem backup, ou se os backups estavam no mesmo PC e foram corrompidos também… Aí fu. Você terá que escolher entre correr o risco de pagar e talvez não receber os arquivos… Ou simplesmente não pagar e seguir a vida adiante.

É triste, é tenso mesmo. Não há muito o que fazer depois que a desgraça está feita. O próprio FBI reconhece que muitas vezes a única forma de obter seus arquivos de volta é pagado. Os criadores desse tipo de malware já invadiram hospitais, farmácias, delegacias, órgãos de governo… E isso é global! No mundo todo há gente que sofre ataques de ransomware.

Em empresas a situação pode ser catastrófica, literalmente colocando tudo a perder. Contratos, documentos, planilhas…

Como remover o ransomware do computador?

Para os ransomwares que já foram desmascarados, pode existir uma ferramenta de descriptografia. Uma saída é achar o programa que descodifica os arquivos. Não terei como listar aqui todos os que existem, pois a todo momento surgem variações novas dessas pragas. Você teria que pesquisar na internet de forma mais específica, tendo ideia do tipo de ransomware que você pegou – pesquisando pelos textos que ele apresenta na tela pode dar uma força. E nem assim é garantido que as ferramentas irão funcionar, pois como falei, existem inúmeras variações destas pragas.

Há informações sobre algumas destas ferramentas na página da Kaspersky:
https://noransom.kaspersky.com/

TrandMicro:
https://esupport.trendmicro.com/en-us/home/pages/technical-support/1105975.aspx

Entre outros.

Como evitar ser vítima de ransomware?

Basicamente da mesma forma como você evitaria cair num golpe qualquer: não instale software desconhecido sem checar a procedência, não clique em links de e-mails, confirme com os remetentes verdadeiros se mandaram algo em casos de suspeitas… Normalmente bancos e a Receita Federal não mandam anexos por e-mail, não mandam clicar para baixar nada… Coisas que usam nomes de grandes instituições na maioria das vezes são golpes. Se você não solicitou nada, é quase certeza então que é golpe mesmo. Os bandidos enviam centenas de milhares de e-mails e algumas dezenas de milhares de pessoas caem… Para eles já está bom.

Muita gente acha que os ransomwares são instalados automaticamente, mas na grande maioria dos casos foi vacilo do usuário: um funcionário despreparado clicou e baixou algo. Se analisar o uso do computador com câmeras por trás da pessoa (ou com softwares de monitoramento como meu Mep Spy) provavelmente você a veria fazendo algo errado: baixando um anexo de e-mail ou clicando em alguma propaganda em site de torrent ou pornô. O vírus raramente vai se instalar sozinho ao usar um sistema bem atualizado.

Falando em sistema, usar Linux ou Mac ajuda, já que são menos visados pelos hackers. Mas nem tanto: vai depender do comportamento do usuário mesmo.

Manter um antivírus atualizado também é bom. O Windows a partir do 8 já têm o antivírus nativo dele, o Windows Defender, que oferece uma boa proteção sem exigir nada extra. Ele pode detectar boa parte dos ransomwares e pragas virtuais. Usar outro antivírus pode ser interessante dependendo do caso, mas nenhum será garantido: programas muito bem feitos podem passar despercebidos pelos antivírus até que sejam identificados em larga escala. Até lá… Muita gente pode ter sido infectada.

Tenha backup dos seus arquivos!

E tenha backup em um lugar seguro: algo fora do computador. O ideal é ter backup em locais remotos, evitando perder tudo em casos de desastres naturais ou incêndios – desmoronamentos, batidas, quebra do computador, etc.

Se você manter os backups no mesmo PC, mesmo em outro HD ou partição (ou num pendrive conectado), o ransomware pode criptografar seus arquivos de backup também. Aí complicou mesmo, né?!

Resumindo: esteja seguro!

Ninguém está 100% seguro, mas a melhor forma de se proteger do ransomware é justamente evitar pegá-lo. Exatamente como uma DST: use proteção ao se envolver com desconhecidos(as), sem saber a procedência e histórico da pessoa direito. E mesmo assim não há garantias de 100% de eficiência. Sistema atualizado, antivírus, e principalmente: comportamento adequado, sem sair clicando em tudo despreparado. Programas .exe, .com, .scr, .bat, entre outros… Só baixe se forem de fontes confiáveis mesmo.

Aproveitando a época, um artigo bem legal sobre ransomware foi publicado no GdH pelo William R. Plaza. Recomendo ver: a praga virtual mais assustadora da web.

comments powered by Disqus