No More Ransom salva o dia

Um dia, em maio de 2016, a alemã Marion ligou seu computador. Ela nem imaginava o que viria. O primeiro sinal de problema foi quando seu PC não ligou normalmente

Um dia, em maio de 2016, a alemã Marion ligou seu computador. Ela nem imaginava o que viria.

O primeiro sinal de problema foi quando seu PC não ligou normalmente e não conseguia entrar na área de trabalho. Mesmo depois de reiniciar, nada. Foi aí que ela viu a mensagem do ransomware. Não sabia como tinha sido infectada. Não tinha notado nada suspeito na última vez que ela, nem qualquer membro da família, usou seu computador.

Mas lá estava:
A ascenção do ransomware

Ransomwares se posicionaram como problema crescente nos últimos anos, sem qualquer sinal de desaceleração. Todos sabemos que é importante fazer backups regularmente, não abrir e-mails suspeitos, usar os melhores softwares de segurança, e por aí vai. Mas ainda assim, qualquer coisa pode acontecer, e de repente você se encontra sem acesso aos seus dados ou ao seu computador, compartilhamento de rede, e discos rígidos

É impossível tornar seu PC 100% seguro, a menos que você o desconecte de qualquer rede, remova o drive CD, conexões USB, e mais. Isso dificilmente é algo prático. Então é hora de apelarmos para a gestão de riscos: encontrar seu balanço pessoal entre conveniência, segurança e privacidade.

E se você acabar vítima de um ataque, precisa saber que sua decisão não se resume a pagar ou não o resgate. Há opções.

Pode ser um pouco difícil obter seus dados exatamente como eram. Cibercriminosos estão corrigindo os erros que permitiam a empresas como a Kaspersky Lab e seus parceiros desenvolverem ferramentas genéricas que poderia desencriptar arquivos. Hoje, variantes ainda mais sofisticadas existem, e a recuperação por vezes requer senhas específicas dos criminosos.

Como ter os dados de volta?

A medida que o dia dela só piorava, Marion desligou o computador e pediu ajuda ao departamento de TI. Eles foram capazes de capturar todos os dados relevantes: a mensagem, os arquivos relacionados no disco, e até mesmo algumas imagens e PDFs antes e depois da criptografia. Tentaram todas as ferramentas disponíveis para descriptografar os arquivos, mas nenhuma funcionou.
Foi aí que a ficha caiu: seu HD continha arquivos com mais de uma década de fotos de família: anos de ocasiões especiais, em diversas pastas e organizados por datas. A maioria completamente inacessível.

Marion não tinha um backup externo, mas certeza de uma coisa: não ia pagar os criminosos.

Ela entrou em contato com pessoas para quem ela mandava suas fotos e pediu que as enviassem de volta. Dessa forma, conseguiu algumas imagens, mas estava longe de ter seu arquivo completo -a maioria das lembranças estavam perdidas.

Com o auxílio do departamento de TI de sua empresa, procurou por uma solução online e não encontrou. Se voltou aos amigos.

Finalmente, como último recurso, publicou no Facebook pedindo ajuda e ofereceu 500 euros como recompensa para qualquer um que pudesse ajudá-la a recuperar os arquivos!

(Por mais que tenha recebido várias dicas, meus arquivos continuam bloqueados. Parece que fui alvo de uma nova espécie de vírus. Mas não vou perder a esperança e oferecerei o prêmio de 500 euros para qualquer um que me ajude a desbloquear meus arquivos.)

Por volta de 20 pessoas responderam o post e tentaram ajudar, mas nenhuma conseguiu.

Hora do No more Ransom

Foi aí que me envolvi. Um antigo colega viu o post da Marion e sabendo que eu fazia parte do GReAT da Kaspersky Lab me chamou para a conversa.

Entrei em contato com Marion e ela forneceu toda a informação necessária para que eu pudesse buscar ferramentas para desbloquear seus arquivos. Mas não encontrei nenhuma para a variante que a atingiu.

Com as informações dela, fui aos nossos especialistas em ransomware. Eles confirmaram rapidamente que o malware era uma nova variação do CryptXXX V3 e que as ferramentas específicas para desbloquear os arquivos dela ainda não estavam disponíveis. Repassei a notícia ruim à Marion, mas a aconselhei a não pagar o resgate – já que os criminosos criam novos ransomwares sempre, nós trabalhamos com a polícia e outros parceiros para desenvolver ferramentas de desbloqueio ou para extrair as senhas privadas armazenadas pelos servidores de comando e controle dos mal-intencionados.

Fazemos isso por meio do projeto No More Ransom. No verão de 2016, Europol, Kaspersky Lab, e Intel Security lançaram o portal NoMoreRansom.org para auxiliar vítimas a recuperar seus arquivos, e interromper o modelo lucrativo que faz com que cibercriminosos continuem voltando. O projeto tem mais de 40 parceiros no momento.

Dia 20 de dezembro, adicionamos outro decriptor para o CryptXXX V3 na página. Oferecemos a solução sem custo, assim como todas as ferramentas que você encontrará lá.

Ainda fiquei com o caso de Marion na cabeça. Entrei em contato com ela pelo Facebook e apontei para a nova ferramenta. Alguns dias depois, ela respondeu dizendo que conseguiu recuperar todos os arquivos! (Naturalmente, não aceitei a recompensa.)

Lição aprendida

Perguntei a Marion o que ela aprendeu com o incidente.
Além de fazer backups constantes de seus dados para discos rígidos distintos, está ainda mais cuidadosa ao navegar na Internet e sempre garante que está com tudo atualizado. Também parou de deixar outras pessoas usarem seu computador.

Isso nos faz voltar a necessidade de sermos nossos próprios gerentes de risco. Finalmente, fica a seu critério cuidar de seu PC, rede, privacidade, e recursos pessoais. Mas se algo der errado, lembre-se que suas opções não são simplesmente pagar ou não pagar o resgate. O NoMoreRansom.org deve ser sua primeira parada – você pode acabar recuperando seus arquivos sem precisar pagar um centavo. E mesmo que sua solução não exista ainda, dê um tempo e não pague os bandidos.

Marion é apenas uma das beneficiárias do projeto, que até agora já lançou sete ferramentas de desbloqueio. Cinco mil usuários já recuperaram seus arquivos, e economizaram mais de US$ 1,5 milhão em resgate.

Dicas