O que é o ransomware CryptoLocker e de onde ele vem?
O ransomware CryptoLocker é um tipo de malware que criptografa arquivos em computadores com Windows e exige um pagamento de resgate em troca da chave de descriptografia. Ele surgiu em setembro de 2013 durante um ataque prolongado que durou até maio do ano seguinte. O CryptoLocker convencia suas vítimas a baixarem anexos maliciosos enviados por e-mail. Uma vez abertos, esses anexos com cavalos de Troia executavam o malware que estava dentro deles.
O CryptoLocker foi um vírus? Não exatamente. Diferente de vírus e worms, o CryptoLocker não conseguia fazer cópias de si mesmo. Então, como o CryptoLocker se espalhou? Para ajudar a infectar mais vítimas, os cibercriminosos que o criaram usaram a agora famosa botnet Gameover ZeuS. Essa era uma rede de computadores infectados por malware que podiam ser controlados remotamente pelo operador da botnet, sem o conhecimento ou consentimento de seus proprietários. Em outras palavras, era um público já pronto para uma infecção pesada com ransomware CryptoLocker.
Em meados de 2014, uma força-tarefa internacional conhecida como Operação Tovar finalmente conseguiu derrubar o Gameover ZeuS. Como resultado, as chaves de descriptografia do CryptoLocker foram disponibilizadas online gratuitamente. Embora seja difícil saber o valor exato, os criadores do CryptoLocker haviam extraído com sucesso milhões de dólares em bitcoin das vítimas até então. Esse sucesso considerável inspirou vários outros cibercriminosos a desenvolver “clones” e variedades derivativas de ransomware, algumas delas ainda não descriptografadas, que são baseadas no modelo original do CryptoLocker ou simplesmente emprestam elementos de seu nome.
Como funciona o ransomware CryptoLocker?
O CryptoLocker usa um método de criptografia assimétrica que dificulta a descriptografia. Esse sistema de duas chaves usa uma chave pública para criptografia e uma chave privada para descriptografia, cada uma vinculada à outra.
O remetente criptografa o arquivo com a chave pública, e o destinatário descriptografa-o com a sua chave privada.
Quando a criptografia assimétrica é usada para fins legítimos, como a transmissão de informações confidenciais, o destinatário fornece a chave pública ao remetente para que ele possa criptografar os dados, mas mantém a chave privada para si. No caso de ransomwares como CryptoLocker, os operadores mantêm as duas chaves, incluindo a chave privada necessária para descriptografar os arquivos.
Uma vez no seu computador, o CryptoLocker se comporta como a maioria dos ransomwares contemporâneos. Ele criptografa os arquivos e exibe uma nota de resgate informando que você precisará pagar uma taxa de resgate para recuperá-los.
Quando executado, o CryptoLocker se instala no perfil do usuário e começa a escanear o computador, todos os dispositivos conectados e todos os outros dispositivos em sua rede, em busca de arquivos e pastas para criptografar. O processo de criptografia pode levar horas, por isso o CryptoLocker tem um tipo de um “período de incubação”, antes que o computador da vítima comece a exibir sintomas.
Como reconhecer o ransomware CryptoLocker?
Assim que o processo de criptografia é concluído, o CryptoLocker revela sua presença com uma nota de resgate.
Como o CryptoLocker é iniciado sempre que um computador infectado é ligado, ele oferece uma janela de pagamento cada vez menor. Observe como a nota de resgate instrui as vítimas a baixarem novamente o malware, caso ele seja excluído pelo antivírus.
O CryptoLocker informa às vítimas que sua “chave privada”, a coisa pela qual eles precisam pagar e que teoricamente descriptografará seus arquivos, será destruída dentro de certo período de tempo se o pagamento não for recebido. Em novembro de 2013, alguns meses após o início do ataque, os cibercriminosos por trás do CryptoLocker introduziram um serviço online que prometia desbloquear os arquivos das vítimas após o término dos prazos, mas por uma taxa significativamente mais alta.
Como remover o ransomware CryptoLocker?
Para remover o CryptoLocker do computador, tudo o que você precisa fazer é iniciar um programa antivírus confiável, como o Avast Free Antivirus. Ele examinará o computador em busca de sinais de malware, incluindo ransomware como o CryptoLocker, para eliminá-lo do seu computador.
É tão fácil que, como mencionado acima, os criadores do CryptoLocker previram que muitas pessoas teriam um software antivírus que excluiria o ransomware.
O fato de que a possível remoção do CryptoLocker não impedia o seu uso indica uma coisa: remover o ransomware não resolve o problema. Depois que o CryptoLocker criptografa seus arquivos, eles permanecem criptografados até você descriptografá-los com a chave correta. A remoção do CryptoLocker impede que ele criptografe outras coisas, mas não descriptografa seus arquivos.
Quando infectado com ransomware, você pode cair na tentação de pagar o resgate, esperando que os cibercriminosos entregarão a chave de descriptografia, mas não há garantia de que isso vai acontecer. Em vez disso, eles podem sumir com seu dinheiro, deixando você sem dinheiro e sem os arquivos. Alguns tipos de criptografia de ransomware não podem ser revertidos nem com o uso da chave.
Pagar aos criminosos é uma admissão de que o uso de ransomware para tirar o dinheiro das pessoas funciona e é lucrativo. Você pode poupar futuras vítimas, mostrando aos cibercriminosos que você não cederá. Nunca pague a um cibercriminoso para recuperar seus arquivos.
Em vez disso, a maneira mais confiável de recuperar seus arquivos é fazer a restauração a partir de um backup. Por isso, é muito importante fazer backups de todos os seus dados importantes regularmente. Mas primeiro, remova o ransomware do dispositivo infectado:
Como descriptografar arquivos criptografados pelo CryptoLocker
Quando os pesquisadores de segurança cibernética descobrem os métodos de criptografia de uma variedade de ransomware, geralmente lançam um decodificador gratuito online. Embora uma ferramenta de descriptografia do CryptoLocker tenha sido lançada após a Operação Tovar, os pesquisadores ainda não decifraram todos os clones e descendentes do CryptoLocker.
Se você foi afetado por uma variedade que não foi descriptografada, não poderá aproveitar essas ferramentas. Em vez disso e como descrito acima, a melhor aposta é remover o ransomware e restaurar seus arquivos de um backup, se você tiver um. Caso contrário, não exclua seus arquivos! Arquivos criptografados não podem ser abertos, mas aguardar a cura não faz mal a ninguém. À medida que a pesquisa avança, é possível que mais decodificadores de CryptoLocker apareçam online no futuro.
Mais uma vez, pedimos que você nunca pague o resgate a um cibercriminoso. Você não pode ter certeza de que receberá algo em troca.
O ransomware CryptoLocker ainda é considerado uma ameaça?
Como a Operação Tovar descobriu as chaves de criptografia do CryptoLocker, você não corre mais o risco de ser infectado com a variante original. Devido ao sucesso enorme, o nome CryptoLocker (e variações sobre esse tema) foi usado por várias outras instâncias de ransomware.
O CryptoWall, que apareceu em 2014, infecta o Windows 10, além das edições mais antigas. O CryptoWall se insere nos arquivos de inicialização do computador infectado. Seu sucesso foi tão grande que, em 2015, um agente do FBI admitiu que, em muitos casos, a agência realmente incentivou as vítimas a pagarem o resgate para recuperar seus arquivos, apesar da validade duvidosa desse conselho.
Portanto, embora o CryptoLocker original não represente mais uma ameaça, há muitos outros ransomwares por aí, à espreita de seus arquivos.
Como se proteger do ransomware CryptoLocker?
O CryptoLocker pode criptografar apenas os arquivos e as pastas aos quais sua conta de usuário tem acesso. Se estiver administrando uma rede, você pode atenuar os possíveis danos concedendo aos usuários acesso apenas aos recursos de que provavelmente vão precisar: uma configuração conhecida como modelo de menor privilégio. Embora, quando se trata de proteger seu computador pessoal, é provável que essa estratégia de prevenção do CryptoLocker não seja relevante.
Em vez disso, siga sempre estas práticas anti-ransomware recomendadas para impedir que o CryptoLocker e outro ransomware infecte seu computador:
Faça backup dos seus dados. Esta dica vem em primeiro lugar, porque é a maneira mais eficaz de recuperar seus arquivos, caso você seja atingido por ransomware. Se você usar uma unidade externa, desconecte-a após a conclusão do backup e armazene-a em um local seguro. Se deixá-la conectada ao computador, o ransomware também poderá criptografá-la. Você pode (e deve) também fazer backup usando os serviços em nuvem. Com o backup pronto, o ransomware não poderá prejudicar você.
Nunca baixe anexos de remetentes desconhecidos. Além do botnet Gameover ZeuS, esse foi outro método que o CryptoLocker usou para chegar aos computadores de suas vítimas. Não importa o que acontecer, nunca baixe anexos desconhecidos. Também é uma boa prática verificar todos os anexos provenientes de contatos confiáveis. "Ei, foi você mesmo que enviou isso?”
Não clique em links desconhecidos. Aqui vale o mesmo conselho acima. Se você vir um link de uma fonte não confiável, fique longe dele. Isso vale não só para e-mails, como também na internet, especialmente nas seções de comentários e fóruns. Os links podem levar a sites maliciosos que baixam automaticamente malware, incluindo ransomware, em seu computador.
Baixe programas, aplicativos e conteúdo de fontes verificadas. Ao fazer o download de portais oficiais, você se beneficia da segurança adicional de um processo completo de verificação. O compartilhamento de arquivos P2P pode parecer um método interessante para obter o conteúdo desejado, mas é arriscado.
Mantenha sempre os softwares atualizados. Instale atualizações e patches assim que forem lançados para o seu sistema operacional e outros softwares. Eles geralmente eliminam vulnerabilidades que os cibercriminosos podem explorar para colocar malwares no seu computador.
Limite as informações pessoais que você divulga ou coloca online. Quanto mais informações pessoais um cibercriminoso tiver, elas poderão personalizar com mais precisão uma tentativa de phishing para você. Seja um participante ativo na manutenção de sua privacidade online.
Use software de segurança. Um forte software de segurança cibernética pode ajudar bastante na prevenção. Instale software antivírus no seu computador para bloquear malwares antes que possam se instalar e use uma VPN para se proteger em Wi-Fis pública.
Defenda-se do CryptoLocker com uma ferramenta anti-ransomware exclusiva
Melhore a sua segurança cibernética com o Avast Free Antivirus, a solução anti-ransomware líder mundial. Ele é atualizado continuamente para manter você à frente das novidades em ameaças online. Nosso antivírus com a melhor classificação alerta você sobre qualquer software desatualizado que possa deixar seu sistema vulnerável, além de detectar e bloquear ransomware antes que ele possa entrar no seu dispositivo.