Em uma infecção por ransomware, seus dados são criptografados ou seu sistema operacional é bloqueado por cibercriminosos. Esses criminosos normalmente exigem o pagamento de um resgate em troca da descriptografia dos dados. O ransomware pode entrar em um dispositivo de muitas maneiras diferentes. As rotas mais comuns incluem infecções em sites maliciosos, add-ons indesejados em downloads e spam. Os alvos dos ataques de ransomware incluem tanto indivíduos como empresas. Várias medidas podem ser tomadas para se proteger contra ataques de ransomware, com um olhar atento e o software certo sendo passos importantes na direção certa. Um ataque de ransomware significa perda de dados, gasto de grandes quantias de dinheiro ou ambos.
Como saber se o computador está infectado? Estas são algumas maneiras de detectar um ataque de ransomware:
Finalmente, uma janela contendo um pedido de resgate confirma a existência de uma infecção por ransomware. Quanto antes a ameaça for detectada, mais fácil será combater o malware. A detecção precoce de uma infecção por cavalo de Troia de criptografia pode ajudar a determinar que tipo de ransomware infectou o dispositivo. Muitos cavalos de Troia de extorsão se eliminam depois que a criptografia é executada, de modo que não possam ser examinados e descriptografados.
O ransomware geralmente se divide em dois tipos: ransomware de bloqueio e ransomware de criptografia. Um ransomware de bloqueio trava a tela inteira, enquanto o ransomware de criptografia criptografa "apenas" arquivos individuais. Independentemente do tipo de cavalo de Troia de criptografia, as vítimas geralmente têm três opções:
Tanto o tipo de ransomware como o estágio em que a infecção é detectada têm um impacto significativo na luta contra o vírus. A remoção do malware e a restauração dos arquivos não é possível com todas as variantes de ransomware. Aqui estão três maneiras de combater uma infecção.
Se o ransomware for detectado antes do pedido de resgate, você tem a vantagem de poder excluir o malware. Os dados que foram criptografados até este ponto permanecem criptografados, mas o ransomware pode ser parado. A detecção precoce significa que o malware pode ser impedido de se espalhar para outros dispositivos e arquivos.
Se você fizer backup dos seus dados externamente ou em um armazenamento em nuvem, você poderá recuperar seus dados criptografados. Mas o que fazer se você não tiver um backup de seus dados? Recomendamos que você entre em contato com o fornecedor de sua solução de segurança de Internet. Talvez já exista uma ferramenta de descriptografia para o ransomware de que você foi vítima. Você também pode visitar o site do projeto No More Ransom. Essa iniciativa do setor foi lançada para ajudar todas as vítimas de ransomware.
Se foi vítima de um ataque de ransomware de criptografia de arquivo, você pode seguir estas etapas para remover o cavalo de Troia de criptografia.
Etapa 1: Desconecte-se da Internet
Primeiro, remova todas as conexões, tanto virtuais como físicas. Isso inclui dispositivos sem fio e com fio, discos rígidos externos, qualquer mídia de armazenamento e contas na nuvem. Isso impede a propagação do ransomware dentro da rede. Se você suspeitar que outras áreas foram afetadas, execute as seguintes etapas de backup para essas áreas também.
Etapa 2: Realize uma investigação com seu software de segurança de Internet
Execute uma verificação antivírus usando o software de segurança de Internet que você tem instalado. Isso ajudará a identificar as ameaças. Se forem encontrados arquivos perigosos, você pode excluí-los ou colocá-los em quarentena. É possível excluir os arquivos maliciosos de forma manual ou automática usando o software antivírus. A remoção manual do malware só é recomendada para usuários com conhecimentos de informática.
Etapa 3: Use uma ferramenta de descriptografia de ransomware
Se o seu computador estiver infectado com um ransomware que criptografa dados, você precisará de uma ferramenta de descriptografia apropriada para recuperar o acesso. Na Kaspersky, estamos constantemente investigando os tipos de ransomware mais recentes para que possamos fornecer ferramentas de descriptografia apropriadas para combater esses ataques.
Etapa 4: Restaure o backup
Se você fez backup dos dados externamente ou em um armazenamento na nuvem, crie um backup dos dados que ainda não foram criptografados pelo ransomware. Se você não tiver nenhum backup, limpar e restaurar o seu computador será muito mais difícil. Para evitar essa situação, é recomendável que você faça backups regularmente. Se você tende a esquecer essas coisas, use os serviços de backup automático na nuvem ou marque compromissos no seu calendário para lembrá-lo.
No caso de um ransomware de bloqueio de tela, a vítima é confrontada primeiro com o desafio de conseguir acessar o software de segurança. Ao iniciar o computador no Modo de Segurança, há a possibilidade de que a ação de bloqueio de tela não seja carregada e a vítima possa usar o seu programa antivírus para combater o malware.
Geralmente, não é recomendávelpagar resgates. Tal como a política de não negociação em uma situação real com reféns, uma abordagem semelhante deve ser seguida quando os dados são tomados como reféns. O pagamento do resgate não é recomendado porque não há nenhuma garantia de que os criminosos realmente cumprirão com a promessa e descriptografarão os dados. Além disso, o pagamento pode incentivar esse tipo de crime, o que deve ser evitado a todo custo.
Se tiver a intenção de pagar o resgate mesmo assim, você não deve remover o ransomware do seu computador. Na verdade, dependendo do tipo de ransomware ou do plano do cibercriminoso em relação à descriptografia, o ransomware pode ser a única maneira de aplicar um código de descriptografia. A remoção prematura do software tornaria o código de descriptografia (comprado a um grande custo) inutilizável. Mas se realmente recebeu um código de descriptografia e ele funciona, você deve remover o ransomware do dispositivo o mais rápido possível após os dados serem descriptografados.
Existem muitos tipos diferentes de ransomware, alguns dos quais podem ser desinstalados em apenas alguns cliques. Por outro lado, no entanto, existem também variantes do vírus muito mais complexas e difíceis de remover.
Existem diferentes opções para remover e descriptografar os arquivos infectados, dependendo do tipo de ransomware. Não existe uma ferramenta de descriptografia universal que funcione para todas as diversas variantes de ransomware.
As seguintes questões são importantes quando se trata da remoção adequada do ransomware:
O Ryuk pode ter entrado no sistema por meio do Emotet, por exemplo, o que implica uma diferença na forma como o problema é tratado. Se for uma infecção por Petya, o Modo de Segurança é uma boa maneira de removê-lo. Você pode encontrar mais informações sobre as diferentes variantes de ransomware aqui.
Mesmo com as melhores precauções de segurança, um ataque de ransomware nunca pode ser excluído com toda certeza. Se o pior acontecer, um excelente software de segurança, como o da Kaspersky, uma boa preparação e uma ação cuidadosa podem ajudar a atenuar as consequências do ataque. Tendo em mente os sinais de aviso de um ataque de ransomware, você pode detectar e combater uma infecção precocemente. No entanto, mesmo que tenha sido exigido um resgate, você tem várias opções à disposição e pode escolher o que for melhor de acordo com a sua situação individual. Lembre-se de que fazer backup dos seus dados regularmente reduzirá muito o impacto de um ataque.