Na informática, o ransomware (AFI: /ˈræn.səm.weər/) é um software malicioso usado para extorsão por meio de sequestro de dados digitais usando a criptografia; um crime-cibernético que usa como refém arquivos computacionais pessoais da própria vítima, cobrando assim um resgate para restabelecer o acesso a estes arquivos. Este resgate (ransom em inglês) é cobrado em criptomoedas, que, na prática, o torna quase impossível de se rastrear o criminoso.
Uma vez que o sistema esteja infectado, o ransomware irá criptografar, em segundo plano, dados sensíveis do usuário. Assim que concluído o processo, emitirá um aviso em tela informando sobre o bloqueio. Em seguida, um valor será exigido para obter uma chave a fim de restabelecer acesso aos arquivos criptografados. Caso não ocorra o pagamento, os mesmos arquivos podem ser perdidos e até mesmo publicados. De acordo com um relatório da Cisco, essa técnica dominou o mercado de ameaças digitais em 2017 e se tornou o tipo de malware mais rentável da história.
A primeira ocorrência documentada desse tipo de ataque ocorreu com o cavalo-de-troia de 1989, um trojan conhecido como AIDS, criado pelo biólogo Joseph Popp, que distribuiu mais de 20 mil disquetes infectados na Conferência Internacional sobre AIDS da Organização Mundial da Saúde. Os participantes que decidiram usar o disquete deflagraram uma ameaça que criptografou seus arquivos. Para restabelecer o acesso, os usuários foram advertidos a enviar U$189 para uma caixa postal da PC Cyborg Corporation. Na época, os mesmos usuários conseguiram solucionar o problema uma vez que o malware usou criptografia simétrica, que é relativamente fácil de ser descriptografada. Outro exemplo deste tipo de malware é o Arhiveus-A, que compacta arquivos no computador da vítima num pacote criptografado. Em seguida informa que os arquivos somente poderão ser recuperados com o uso de uma chave difícil de ser quebrada, geralmente de 30 dígitos, que a vítima receberá após efetuar sua compra. Trata-se de um golpe, uma extorsão, pois não há qualquer garantia que após o pagamento a vítima receberá a chave de descriptografia.
A maioria dos ransomwares é criada com propósitos comerciais e, diferentemente dos trojans, não permite acesso externo ao computador infectado. A maioria desse tipo de ameaça é, em geral, facilmente detectada pois costuma gerar arquivos criptografados de grande tamanho, embora alguns ransomwares possam escolher inteligentemente que pastas criptografar ou, então, permitir que o atacante escolha as pastas de interesse.
De acordo com o relatório de Avaliação da Ameaça do Crime Organizado na Internet (IOCTA) da Agência da União Europeia para a Cooperação Policial (Europol), apesar do declínio perceptível em 2019, o ransomware ainda era o crime mais usado para fazer roubos financeiros.
Exemplo de mensagem em tela de um típico ransomware:
A criptografia é o elemento-chave do cripto-ransomware, uma vez que todo o seu plano de negócios depende do uso bem-sucedido da criptografia para bloquear os arquivos ou sistemas de arquivos das vítimas sem planos de recuperação, como backups de dados.
O funcionamento do ransomware que criptografa arquivos foi concebido e implementado por Adam L. Young e Moti Young na Universidade de Columbia e foi apresentado em 1996. Embora o AIDS Trojan já contivesse a extorsão e a criptografa arquivos, este malware possuía como fraqueza o fato de que a chave de desencriptação poderia ser extraída do seu próprio código. Por outro lado, o protocolo do cripto-ransomware envolve três passos:
1 - Atacante → vítima: o atacante gera um par de chaves e libera o malware com uma chave pública. A chave privada correspondente é mantida secreta pelo atacante.
2 – Vítima → Atacante: o vírus se espalha e afeta o sistema da vítima. Os arquivos são criptografados simultaneamente (criptografia híbrida) por uma chave local gerada aleatoriamente e pela chave pública. São gerados textos cifrados simétricos e assimétricos. Para recuperar seus dados, a vítima geralmente é extorquida para enviar ao atacante uma quantia em criptomoedas e a chave assimétrica.
3 - Atacante → vítima: o atacante recebe o pagamento e a chave assimétrica. O atacante descriptografa a chave assimétrica com a sua chave privada e envia a chave simétrica descoberta para a vítima. A vítima pode, então, resgatar seus arquivos com a chave simétrica recebida.
Em nenhum momento a chave privada é revelada para a vítima e a chave simétrica é gerada aleatoriamente. Dessa forma, a mesma chave simétrica não pode ser usada para múltiplas vítimas.
Isso não significa que a criptografia é intrinsecamente maligna. Na verdade, é uma ferramenta poderosa e legítima empregada por indivíduos, empresas e governos para proteger os dados de acesso não autorizado, como o sistema de Ukash. Assim como qualquer outra ferramenta poderosa, algoritmos de criptografia podem ser mal utilizados, que é exatamente o que o crypto-ransomware faz.
Esse tipo de ataque geralmente começa com um e-mail recebido contendo um malware em anexo ou um link para um site malicioso (o famoso phishing). Pode acontecer ainda por um pop-up adware (propaganda) exibido em algum site. Neste caso, aparece um alerta na tela do usuário de que ele foi infectado e que, para resolver o problema, precisa clicar no link fornecido.[carece de fontes?]
O que fazer após a contaminação?
Bom, caso você ou a sua empresa sejam contaminados por algum tipo de ransomware, é necessário identificar quais dos tipos de ransomware que você foi vítima.
Uma vez que o computador esteja bloqueado, é muito difícil a remoção do ransomware, pelo fato que o usuário não consegue sequer acessar seu o sistema. Por isso, toda ação preventiva é válida. O melhor caminho é manter o antivírus sempre atualizado e programá-lo para fazer buscas regulares no sistema em busca desses vírus, para que ele seja detectado antes que ativado.
É fundamental ter sempre backup atualizado de suas informações e arquivos, caso precise formatar totalmente o computador infectado, para não perder nenhum arquivo importante. Aplicam-se as mesmas orientações para demais malwares: não clique em links de SPAM do e-mail, sempre verifique a fonte dos vídeos ou links, mantenha seus softwares atualizados apenas instale programas de sites confiáveis.