Ransomware: A vida como a conhecemos hoje seria dificultada sem computadores.

Eles
controlam praticamente tudo o que se relaciona com a comunicação, finanças e até mesmo
ciência médica. À medida que os tecno-ogies da Internet avançam rapidamente, mais
empresas e indi-viduais estão a armazenar eletronicamente dados sensíveis. A Internet
tornou-se o terreno de caça para os criminosos fazerem lucro, causarem distúrbios e
derrubarem organizações e governos. O resgate é a tendência mais recente de que os
criminosos estão a utilizar a caixa de pré-exportação das vítimas. É malwarethat que lhe nega
o acesso ao seu sistema até que pague resgate.

Palavras-chave-Ransomware, Extorsão, Malware, Bitcoins, Cryptovirus, Cryptotrojan,

Cryptoworm, CryptoLocker, WinLocker, Cryptoviral extorsão

I. INTRODUÇÃO

Grandes empresas como a Microsoft, Google são produtos de software de concepção e

construção que podem facilmente salvar os seus ficheiros para armazenamento online e os
utilizadores podem chegar a eles a partir de qualquer dispositivo, como PC, tablet ou
telefone. Ransomware é um malware que o impede de utilizar os seus documentos ou o seu
PC ou armazenamento online bloqueando-os em encriptação inquebrável, e depois disso
exige de si um resgate de 300 a 500 dólares em bitcoins, em troca de uma garantia de
abertura deles. Espalha-se através de anexos de e-mail, programas infectados e websites. Um
ransomware também pode ser chamado de criptotrojan, cryptovirusor cryptoworm.
Categorias de ransomware comumente vistas são:Encripta ficheiros/pastas pessoais -Após os
ficheiros serem encriptados, são apagados da pasta e geralmente um ficheiro de texto
contendo instruções para pagamento é deixado na mesma pasta. Este tipo de ransomware
chama-se 'file encryptor'. Por exemplo, o CryptoLocker. 'Bloqueia' o ecrã - exibe uma
imagem em ecrã inteiro que bloqueia todas as outras janelas e exige pagamento. Os meios-
arquivos pessoais não são encriptados. Este tipo de resgate é chamado 'WinLocker'. "MBR
ransomware" - Uma área no disco rígido do computador que permite ao sistema operativo
arrancar chama-se "Master Boot Record (MBR)". O MBR ransomware altera o MBR do
computador, que se interpõe com o procedimento de arranque normal. Primeiro software
reconhecido foi o "AIDS(Aids Info Desk)Trojan "lançado em 1989. É também conhecido
como "PC CyborgTrojan". Foi escrito pelo Dr. Joseph Popp. Substituiu o ficheiro
AUTOEXEC.BAT e depois contava o número de vezes que a máquina foi inicializada. Uma
vez que esta contagem de arranque atingisse 90, escondia então asries directas e encriptava os
nomes de todos os ficheiros no C: drive e tornava o sistema inutilizável. Para recuperar o
acesso, o utilizador teria de enviar $189 para a PC Cyborg Corp. numa caixa postal no
Panamá. Em 1996, Adam L. Young e Moti Yungfundaram a fraqueza fatal no Trojan
"AIDS". Eles introduziram a ideia de usar criptografia de chave pública para tais ataques.
Este ataque foi referido como sendo de "extorsão criptoviral". Acryptotrojan,cryptovirus ou
cryptoworm hybrid codifica os ficheiros da vítima usando a chave pública do autor do resgate
e a vítima tem de pagar para obter a chave de sessão necessária. Este é um dos muitos
ataques, tanto abertos como encobertos no campo conhecido como Criptovirologia. Com a
Internet a facilitar a realização da ideia de resgate do Popp, os ciber-criminosos começaram a
aperceber-se de que podiam lucrar com o resgate em muito maior escala. Em 2006, as
organizações criminosas começaram a utilizar uma encriptação RSA assimétrica mais eficaz.
Trojans tais como Archiveus,Gpcode, TROJ.RANSOM.A, Krotten, MayArchive e Cryzip
começaram a utilizar esquemas de encriptação RSA mais sofisticados, com tamanhos de
chave sempre crescentes . O Archiveus Trojan-Itencrypted everything in the My Documents
directory and victims are required to purchase items from an online pharmacy to obtain the
30-digit password. O GPcode-É um Trojan criptografado, que inicialmente se espalhou
através de um anexo de e-mail que se dizia ser uma aplicação de trabalho, utilizava uma
chave pública RSA de 660 bits. Dois anos de duração.

CryptoLocker - As primeiras versões foram postas em setembro- Setembro de 2013.

Normalmente entra na empresa por correio electrónico. Se um utilizador clicar no executável,
começa imediatamente a digitalizar unidades, renomeia todos os ficheiros e pastas e encripta-
os. Locker - O primeiro software de imitação surgiu em Dezem-ber 2013. Os utilizadores
tiveram de pagar $150 para obter a chave, com dinheiro a ser enviado para um cartão virtual
Perfect Moneyor QIWI Visa Vir-tual número.CryptoLocker 2.0 - Uma nova e melhorada
versão do CryptoLocker foi encontrada em Dezembro de 2013. Foi escrito dez usando C#
enquanto o original estava em C++. A rede Tor foi utilizada para o anonimato e métodos de
pagamento como o Bitcoin foram utilizados para extorsão. Esta variante mais recente não é
detectada por anti-vírus ou firewall. CryptorBit - Um novo ransomware foi descoberto em
De-cember 2013. O CryptorBit corrompe os primeiros 1024 bytes de qualquer ficheiro de
dados que encontra. Pode contornar as definições da Política de Grupo estabelecidas para se
defender contra este tipo de in-fection de ransomware. Utiliza a engenharia social para
conseguir que os utilizadores finais armazenem o ransomware usando uma actualização flash
falsa ou um produto antivírus desonesto. Utiliza Tor e Bitcoin para um pagamento de
resgate. Também instala software de mineração crypto-coin que utiliza o computador da
vítima para extrair moeda digital.CTB-Locker (Curve-Tor-Bitcoin Locker) - Foi descoberto
no meio do Verão de 2014. As primeiras infecções foram na Rússia, que foi o principal país
fundado. Pensava-se que os criadores eram de um país da Europa de Leste. SynoLocker -
Apareceu em Agosto de 2014. Este resgate atacou os dispositivos Synology NAS.
Itencryptsfiles um a um. O pagamento foi exigido em Bitcoins e Tor foi usado para
anonimato. CryptoWall - Foi rebatizado de CryptoDefense em Abril de 2014. Explorou a
vulnerabilidade do Javavulnerabilidade. Anúncios maliciosos em domínios pertencentes à
Disney, Face-book, jornal The Guardian e muitos outros levaram as pessoas a sites que foram
infectados pela CryptoWall e encriptaram os seus discos. De acordo com uma reportagem de
27 de Agosto da Unidade de Contra-Ameaças da Dell SecureWorks (CTU): "Os
investigadores da CTU consideram a CryptoWall a maior e mais destrutiva ameaça de resgate
na Internet a partir desta publicação, e esperam que esta ameaça con-tinue cresça". Mais de
600.000 sistemas foram infectados entre meados de Março e 24 de Agosto, com 5,25 mil
milhões de ficheiros a serem codificados. 1.683 vítimas (0,27%) pagaram um total de
1.101.900 dólares em resgate. Quase 2/3 pagaram $500, mas os montantes variaram entre
$200 e $10.000,13Cryptobloqueador - uma nova variante de resgate surgiu em Julho de 2014.
Só encripta os ficheiros cujo tamanho é inferior a 100MB e salta qualquer coisa no Windows
ou nos ficheiros Pro-gramas. Utiliza AES em vez de RSA encryption.OphionLocker -
Anewransomware foi lançado emDe-cember 2014. Utilizou criptografia de chave pública
ECC (Elliptic Curve Cryptography). Se o resgate não fosse pago no prazo de três dias, a
chave privada seria apagada. Pclock - Foi lançado em Janeiro de 2015 imitando o
CryptoLocker. Criptografa ficheiros no perfil de um utilizador. Desactiva e desactiva as
cópias de sombras de volume. Depois, definiria um temporizador de contagem decrescente de
72 horas para pagar 1 bitcoin no ransom.CryptoWall 2.0 - Uma nova versão do ransomware
CrptoWall foi lançada em Janeiro de 2015. É desenhado através de anexos de correio
electrónico, ficheiros pdf maliciosos e vários kits de exploração. O CrptoWall codifica os
dados do utilizador, até ser pago um resgate pela chave de descodificação. Utiliza o TOR
para ocultar o canal C&C (Command & Control). Faz controlos anti-emulação e anti-vm
dentro da empresa para dissuadir a identificação através de caixas de areia. Tem a
capacidade de executar o código de 64 bits directamente a partir do seu conta-gotas de 32 bits
e de mudar o contexto de execução do processador de 32 bits para 64 bits.TeslaCrypt -A nova
variante CryptoWall surgiu em Fev-ruary 2015. O seu alvo são ficheiros de jogos populares
como Call of Duty, MineCraft, World of Warcraft, e Steam.VaultCrypt - Foi lançado em
Fevereiro de 2015. Desde então, tem circulado na Rússia. Fingiu ser o suporte ao cliente.
Utiliza ficheiros batch Windows e software de código aberto GnuPG para encriptação eficaz
de ficheiros.CryptoWall 3.0 - Uma nova versão de CryptoWall foi relançada em Março de
2015. É também conhecida como o Onion Trojan-Ransom. Espalha-se através de Remote
Desk-top ou Terminal Services, utilizando ataques de força bruta em máquinas. Os ficheiros
são encriptados utilizando o esquema de encriptação AES e a própria chave de encriptação é
encriptada utilizando o algoritmo RSA.Chimera - Foi lançado em Novembro de 2015. O
hack-er ameaça publicar os ficheiros encriptados na Internet se o resgate não for pago.

SISTEMA DE DISTRIBUIÇÃO DE TRÁFEGO (TDS)O atacante compra tráfego web

redireccionado de um fornecedor de TDS (Serviço de Distribuição de Tráfego)e direcciona-o
para um sítio que hospeda um kit de exploração. Em muitos casos, o tráfego redireccionado
tem origem em websites relacionados com conteúdos para adultos. Se o kit de exploração
explorar com sucesso a vulnerabilidade no computador das vítimas visitantes, o tráfego é
encaminhado para o drive-by-download de malware.MALVERTISEMENTMalicious
advertisements known as malvertisments are pushed on legitimate websites in order to
redirect traf-fic to malicious website. A infecção por malware por Click-fraud, em que clicar
no malvertismo também pode levar a uma infecção por malware de resgate. Ao utilizar o
tempo real, a licitação de pur-chase de tráfego ou de espaço publicitário de interesse, os
criminosos cibernéticos cangeo-graficamente visam as vítimas e operam sem
fronteiras.EMAIL SPAM O spam, uma forma de e-mail contendo um anexo malicioso ou um
link no e-mail pode levar a um site que hospeda um kit de exploração. O spam pode também
envolver a descarga de malware através de outros meios de engenharia social. Os e-mails de
spam utilizam várias técnicas de engenharia social e alavancas psy-chological para enganar o
utilizador. Os e-mails de spam utilizados para distribuir o malware podem ter os seguintes
temas:- Notificação de entrega de correio electrónico - facturas de energia - currículo do
candidato a emprego - declarações de impostos e facturas - notificações de infracção de
trânsito da políciaDOWNLOADERS & BOTNETSOne das formas de distribuição de
malware é conhecido como downloaders. Assim que o descarregador infecta um
computador, descarrega malware secundário para o sistema infectado. Os cibercriminosos por
detrás dos descarregadores oferecem um serviço de instalação de malware em computadores
já infectados, a um custo. As botnets de troianos também podem descarregar o software de
resgate em computadores que tenham infectado. ENGENHARIA SOCIAL E AUTO-
PROPAGAÇÕES Algum ransomware também tem a funcionalidade de se espalhar. Por
exemplo, há algumas amostras no Android que bloqueiam o dispositivo ou encriptam
ficheiros ao mesmo tempo que empregam capacidades semelhantes às de uma minhoca.
Estas amostras espalham-se a todos os contactos dentro do livro de endereços do dispositivo,
enviando mensagens SMS de engenharia social. Um ataque de ransomware passa por cinco
fases: In-stallation, Contacting headquarters, handshake e chaves, encriptação, extorsão. As
cinco fases são explicadas como fol-lows[8]. FASE 1: INSTALAÇÃOO computador da
vítima está infectado, o cripto-ransomware instala-se a si próprio. Em seguida, estabelece as
chaves no Registo do Windows. Para que comece automaticamente sempre que o seu
computador arranca.
FASE 2: CONTACTAR O HEADQUARTERSB antes de começar a atacar o seu sistema,
contacta um servidor operado pelo cybercriminalst que o possui.
FASE 3: HANDSHAKE E KEYSThe ransomware cliente e servidor autenticam-se
mutuamente usando um processo chamado "aperto de mão". O servidor gera então duas
chaves criptográficas. Uma chave é guardada no "scomputer" da vítima e a segunda chave é
armazenada no servidor do crimi-nals.
Fase 4: ENCRYPTIONOnquanto as chaves criptográficas são estabelecidas, o software de
resgate no seu computador começa a encriptar cada ficheiro encontrado.
Fase 5: EXTORÇÃOO software de resgate exibe um ecrã com um limite de tempo para pagar
o resgate, antes que os criminosos destruam a chave para descodificar os seus ficheiros. O
montante do resgate atípico varia entre $300 e $500. Deve ser pago em Bitcoins ou outros
pagamentos elec-tronic, que não são rastreáveis.IV.RISEOFRANSOMWAREToday, a
ameaça de resgate tornou-se uma pandemitagem global a todos os cantos do mundo. Apesar
de ser um problema global, certos países tendem a ser mais afectados do que outros. De
acordo com o relatório da Symantec, os seguintes países são mais afectados pelo resgate -
USA, Japão, Reino Unido, Itália, Alemanha, Rússia, Canadá, Austrália, Índia, Holanda,
Brasil, e Turquia. Estes países representam economias industrializadas e em desenvolvimento
que constituem cerca de 85% do produto interno global (PIB) mundial.