Pergunte ao expert: Jornt van der Wiel fala sobre ransomware

Jornt van der Wiel é membro do GReAT – Time de Análise e Pesquisa Global – e nosso especialista em ransomware e criptografia. Mora na Holanda e trabalha na Kaspersky

Jornt van der Wiel é membro do GReAT – Time de Análise e Pesquisa Global – e nosso especialista em ransomware e criptografia. Mora na Holanda e trabalha na Kaspersky Lab há 2 anos.

Oferecemos aos nossos leitores a chance de fazer perguntas ao Jornt sobre ransomware e criptografia: as respostas foram incríveis. Na verdade, foram perguntas demais para um único post, por isso, foram, divididas em dois grupos. Neste post, teremos as perguntas sobre ransomware, no próximo, criptografia.

Você acha que ransomwares serão um motivo maior de preocupação no futuro do que outras categorias de malware como vírus clássicos e Trojans?
Sim, sem dúvida. Estamos testemunhando um aumento tanto no número de famílias descobertas, quanto no número de tentativas de infecção. A ameaça só aumenta com o passar do tempo. Isso ocorre principalmente porque ransomwares são fáceis de monetizar. Um criminoso consegue infectar alguém, a vítima paga, a partir daí ela recebe a senha para desbloquear os arquivos. Não há qualquer necessidade de comunicação ou interação posterior. O mesmo não ocorre com banking malware, por exemplo, que normalmente requer que criminosos conversem com as vítimas por meio de chat.

Como posso evitar ser vítima de ransomware?

  • Mantenha sempre seus programas atualizados.
  • Não clique em links ou abra anexos de e-mails suspeitos;
  • Habilite extensão de arquivos no Windows (para que você possa identificar se o nome do arquivo é de fato notafiscal.pdf.exe ou notafiscal.pdf)
  • Mantenha seu antivírus atualizado e com configurações heurísticas habilitadas.
  • E caso algo dê errado, tenha backups. Armazene arquivos off-line, ou armazene arquivos na nuvem com acesso ilimitado a versões anteriores (de modo que se seus arquivos forem criptografados e sincronizados ao backup na nuvem, você ainda pode recuperar a última versão desencriptada)

Por ser um usuário individual, estou mais vulnerável a ransomwares que uma empresa
Ransomwares não perdoam ninguém. Às vezes, companhias específicas são os alvos da vez, mas na maior parte do tempo, notamos grandes campanhas de spam com o objetivo de infectar qualquer um. Por outro lado, grandes corporações dificilmente estão dispostas a pagar o resgate, já que na maioria das vezes possuem backups. Empresas menores estão mais inclinadas a pagar, pois restaurar o backup pode vir a ser mais caro que o resgate em si.

Quando é possível desbloquear arquivos criptografados por ransomwares?
Nos seguintes casos:

  • Os criadores do malware cometem um erro de implementação, tornando possível decifrar a criptografia. Foi esse o caso com o Petya ransomware e o CryptXXX. Infelizmente, não posso dar uma lista dos erros que eles cometeram – isso poderia ajudá-los. Mas em geral, não é exatamente fácil fazer tudo certo quando se trata de criptografia. Caso você queira saber um pouco mais sobre o assunto e os erros que as pessoas cometem, indico que pesquise um pouco sobre os desafios criptográficos de Matasano.
  • Os autores do malware se arrependem e publicam as senhas, ou uma “chave mestra” como no caso do TeslaCrypt.
  • Agências reguladoras alcançam um servidor com as senhas e as compartilham. Ano passado, por meio de senhas recuperadas pela polícia holandesa, criamos uma ferramenta de desbloqueio para as vítimas do CoinVault.

Às vezes, pagar o resgate também funciona, mas não há garantia que o pagamento de fato trará seus arquivos de volta. Além disso, caso ceda à extorsão, isso servirá como prova aos criminosos de que o crime compensa, assim, você se torna indiretamente responsável pelas novas vítimas dos ransomwares.

Nas instruções sobre como lidar com CryptXXX, você diz que além do arquivo bloqueado, precisa também do arquivo desencriptado. Para que o software serve então? Se eu tivesse o arquivo desbloqueado, não precisaria da ferramenta.
Excelente pergunta, obrigado por levantar essa questão. Isso mostra que devemos ser mais claros no futuro. O ransomware criptografa todos os seus arquivos com a mesma senha. Então, digamos que você tem 1000 arquivos bloqueados, e que você tenha apenas um arquivo desses na forma original – por exemplo, uma foto enviada por e-mail. Por meio desse único arquivo desbloqueado, a solução recupera a senha dos outros 999. Contudo, você precisa de um arquivo original.

Malwares que criptografam arquivos são os únicos tipos de ransomware?
Não, também existem ransomwares capazes de bloquear seu computador. No entanto, esse tipo é normalmente mais fácil de burlar ou remover, o que o torna cada vez menos popular. Se você quiser saber mais sobre esses ransomwares e como nós os combatemos, dê uma olhada neste post no nosso blog.

Pelo que consegui entender a partir de notícias da imprensa internacional é que lidar com o problema do ransomware é como um jogo de gato e rato. Você encontra uma solução e oponente tenta burlá-la. É de fato desse jeito?
Na verdade não. Nosso componente System Watcher, que observa o comportamento de processos em execução, pode detectar a maioria dos novos ataques de ransomware que encontra – até mesmo desconhecidos. Existem de fato exemplos raros que não são detectados pelo System Watcher. É aí que produzimos um novo padrão comportamental que detecta os novos tipos de ataque.

Criminosos exigem pagamentos em bitcoins que são difíceis de rastrear. Mesmo assim existe alguma forma de pegá-los?
Na verdade, rastrear uma transação em bitcoins não é difícil; transações são registradas na blockchain. Essa é a natureza da Bitcoin – qualquer transação pode ser rastreada. O que você não sabe é quem está do outro lado da transação. Dessa forma, é possível rastrear a movimentação até uma carteira específica, mas ainda é necessário saber a quem ela pertence.

Bitcoin mixers foram introduzidos para frustrar tentativas de rastreamento. Pense em um mixer como uma máquina na qual você coloca muitas bitcoins, as quais são misturadas com bitcoins de diversos donos várias vezes, o que torna o rastreamento ainda mais difícil. Por exemplo, imagine que sou uma vítima e preciso pagar bitcoins à uma carteira. Faço o pagamento em uma conta e essa mesma bitcoin vai para o mixer. A bitcoin é trocada com a de outra pessoa. Dessa forma, no fim, não sabemos qual bitcoin devemos rastrear mais. É óbvio que isso acontece com muita frequência.

Diversas pesquisas foram conduzidas sobre isso (você pode encontrar muitas no Google), a conclusão é que o rastreamento do criminoso se torna impossível. Em resumo: às vezes é possível rastrear transações de uma carteira específica, mas não é fácil – e mesmo que você encontre a carteira, o comércio de bitcoins tem de trabalhar junto com a polícia para que as credenciais do dono sejam reveladas.

Quantos anos foram necessários para descobrir o CoinVault e encontrar seus criadores?
A história do CoinVault basicamente começou quando Bart, da Panda Security, tuítou que ele tinha encontrado novas amostras do CoinVault. No fim, dois desses exemplares não eram do CoinVault, mas claramente relacionados a ele. Decidimos escrever um post no blog sobre isso e criar uma linha do tempo com a evolução do CoinVault. Quando 90% do post estava pronto, nós o enviamos para o National High Tech Crime Unit (NHTCU).

Depois que terminamos o post, encontramos pistas que nos levavam a dois suspeitos possíveis. Naturalmente, compartilhamos essa informação com a NHTCU. O tempo entre o tweet do Bart e a descoberta foi de no máximo de um mês, mas é claro que não passamos todo esse tempo trabalhando no post do CoinVault. Depois da publicação, a NHTCU precisou de seis meses para construir um caso sólido, e os criminosos foram presos em setembro do ano passado.

 

Quanto cibercriminosos estão ganhando com ransomwares?
Uma boa pergunta, mas difícil de responder. Só é possível saber sobre o montante quando conseguimos rastrear todas as transações em bitcoins para uma certa carteira. Ou quando a polícia apreende um servidor de comando e controle que possua informações de pagamento. Mas apenas para se ter uma ideia, digamos que um criminoso conseguiu infectar 250.000 pessoas (o que se trata de uma estimativa aproximada para uma grande campanha). Vamos considerar ainda que o resgate seja de 200 dólares (a média real é de 400 dólares). Se apenas 1% das vítimas pagar o resgate, o lucro é de 500.000 dólares.

É possível que um PC infectado em uma rede local espalhe o ransomware para outros computadores pela rede que possuam o mesmo sistema operacional? É provável que um mesmo ransomware infecte diferentes sistemas operacionais?
Para a primeira parte da sua pergunta: se um ransomware possui habilidades de um worm, ele pode se espalhar pela rede. Por exemplo, Zcryptor e SamSam são duas famílias de ransomwares que possuem essa capacidade. Para a sua segunda pergunta: é possível que uma única espécie de ransomware atinja sistemas operacionais diferentes, caso tenha como alvo servidores da web. Então, por exemplo, um ransomware poderia atingir um servidor PHP instalado. A partir daí, poderia procurar por outras partes da internet em busca de computadores para invadir. O próximo computador pode rodar com Linux – mas com um servidor web PHP. Resumindo, a resposta é sim, existem ransomwares multiplataforma.

 

Dicas