Um novo tipo de ataque virtual tem surpreendido internautas em diversos países, inclusive no Brasil. Momentos depois de iniciar o sistema operacional do computador, uma mensagem de alerta, geralmente assinada pelo governo, avisa o usuário que todas as funções do computador, bem como os arquivos armazenados nele, estão bloqueados. A mensagem orienta o usuário a pagar uma “taxa” para que seu computador seja desbloqueado. Na hora do susto, muitos pagam, mas nem todos recuperam o acesso ao computador.
O chamado “ransomware” entra em ação depois que o usuário instala um vírus no computador, sem saber, quando clica em um link malicioso recebido por e-mail ou ao acessar uma página de web infectada.
De acordo com a fabricante de antivírus McAfee, o número de amostras de ransomware cresceu 43% no último trimestre. No total, mais de 200 mil amostras deste tipo de malware foram coletadas pela empresa no período. Isso representa quase o triplo de amostras coletadas no mesmo período do ano passado.
“O alto crescimento no número de amostras no último trimestre fez do ransomware uma das áreas de crescimento mais rápido no cibercrime”, dizem os analistas da McAfee, no relatório de ameaças do terceiro trimestre.
O crescimento de ataques de ransomware também foi notado pela Symantec em seu relatório de ameaças de outubro. “Neste ano estamos vendo um crescimento na presença de ransomware, não só em se tratando de números, mas também em termos da incorporação de novas técnicas”, escreveu Hon Lau, analista de resposta de segurança da Symantec, no relatório.
Como o ransomware funciona?
De acordo com a Symantec, fabricante do antivírus Norton, é comum encontrar amostras de ransomware em banners falsos de publicidade localizados em sites de pornografia. Ao clicar no anúncio, o internauta baixa o vírus para seu computador sem saber. Depois de recebido, o programa é iniciado em segundo plano, trava as funções do computador e exibe a imagem com o aviso, para intimidar o usuário.
Este tipo de ameaça começou a surgir na web ainda em 2009, principalmente na Rússia e países que adotam o idioma. Somente na metade de 2011, os ataques começaram a se espalhar pela Europa e, logo depois, pelos Estados Unidos. Com rapidez, este tipo de ataque ganhou mais relevância entre os cibercriminosos. Confira na galeria abaixo alguns tipos de ransomware encontrados pelos pesquisadores:
Na Europa, os cibercriminosos costumam exigir entre 50 euros e 100 euros durante os ataques de ransomware. Nos EUA, as quantias chegam a US$ 200. Em geral, o cibercriminoso define um prazo para o pagamento que, em geral, ocorre pela internet. Contudo, é comum que, mesmo após o pagamento, o usuário não consiga desbloquear o computador – somente após retirar o malware da máquina.
Estimativa da Symantec mostra que os cibercriminosos alcançam taxa de sucesso de cerca de 3% com cada ataque. Após analisar o servidor de uma única amostra de ransomware nos EUA, a empresa estima que o cibercriminoso conseguiu infectar cerca de 68 mil computadores em apenas um mês, o que pode ter lhe rendido cerca de US$ 394 mil.
Novos tipos de sequestro
Segundo Lau, nas primeiras mensagens de ransomware, os cibercriminosos usavam mensagens simples, que exigiam dinheiro em troca do desbloqueio do computador. Em muitos casos, segundo a Symantec, era comum que os ataques usassem uma tela de bloqueio com imagens pornográficas, por exemplo, para obrigar o usuário a fazer o pagamento rapidamente.
Atualmente, no entanto, os cibercriminosos passaram a criar ransomwares específicos para cada país e também com conteúdo que ameaça o usuário com base em possíveis crimes cometidos por ele. Um dos casos nos EUA, por exemplo, é o uso de mensagens com o logotipo do Federal Buereau of Investigation (FBI) com acusações de que o usuário baixou músicas ou vídeos piratas e, por isso, seu computador foi bloqueado para uma investigação do governo.
“Se as estatísticas estão certas sobre a realidade, você pode ter certeza de que essa engenharia social inspirada na aplicação da Lei tem grandes chances de funcionar, principalmente quando combinada com outras técnicas, como bloqueio da tela”, explica Lau, no relatório da Symantec.
Em alguns novos “sequestros” de computadores nos EUA, diz a Symantec, há ransomwares que inclusive usam áudio para aumentar o impacto do ataque. Ao exibir a mensagem falsa na tela do computador, o programa malicioso também reproduz uma mensagem (em inglês): “Alerta do FBI: Seu computador está bloqueado por conta de violação de uma Lei federal”.
Português e Espanhol
Segundo Fábio Assolini, analista sênior de malware da fabricante de antivírus Kaspersky, os ataques de ransomware ainda são mais comuns nos EUA e Europa. Contudo, a empresa já detectou ransomware nos idiomas espanhol e português, o que pode indicar um avanço deste tipo de ataque à América Latina em breve. “Os ataques ainda são simples, não explorar o bloqueio de arquivos, como os ransomwares disseminados nos EUA e Europa”, disse Assolini,.
Até agora, a Kaspersky só encontrou um vírus do tipo ransomware no Brasil, menos complexo do que os encontrados nos EUA e Europa. Segundo Fábio, após instalado, o vírus mostra uma tela que acusa a pessoa de usar uma cópia pirata do sistema operacional Windows, da Microsoft. O ataque bloqueia o uso do navegador e sugere que o internauta compre uma suposta cópia original do Windows por apenas R$ 19,90 – o preço da licença original (Windows 7) é de R$ 329.
Para fazer o pagamento, o usuário é levado para uma outra página onde precisa informar o cartão de crédito. No final do processo, em vez de fazer download da versão original do Windows, o usuário tem seu cartão de crédito clonado, mas nem fica sabendo disso. “Os ataques que usam a ideia de pirataria de software não funcionam muito no Brasil, porque o brasileiro não está disposto a pagar por este tipo de produto”, diz Assolini.
No relatório da Symantec, a empresa aponta que, no primeiro trimestre de 2012, entre 2% e 5% dos ataques de ransomware ocorreram no Brasil. Entre julho e setembro deste ano, a participação do Brasil entre os ataques diminuiu para até 2%, principalmente por conta de pequenos números de ataques que ocorreram em mais países. “O terceiro trimestre mostra o avanço do vírus, com mais ataques na Europa, mas também mais ataques nos EUA”, dizem Gavin O’Gorman e Geoff McDonald, analistas da Symantec, no relatório.
Como evitar o sequestro do seu PC
Apesar de o Brasil ainda não estar na mira dos cibercriminosos que sequestram computadores em busca de lucro rápido, os internautas podem tomar algumas precauções para evitar que este tipo de vírus (e muitos outros) infectem o computador. Confira abaixo algumas dicas:
– Evite clicar em anúncios em sites que não são confiáveis;
– Mantenha o seu computador atualizado com as versões mais recentes de Java, Adobe Flash, Acrobat Reader, Windows e do navegador;
– Instale somente programas e aplicativos desenvolvidos por empresas confiáveis;
– Adote um antivírus e mantenha-o atualizado.