O Inicio
O primeiro caso conhecido de ransomware remonta a meados da década de 1980. Especificamente, o "PC Cyborg" foi um programa de malware que surgiu em 1989. Esse malware, também conhecido como "AIDS Trojan", foi distribuído em disquetes e se destinava a usuários de computadores pessoais (PCs) com sistema operacional DOS.
O PC Cyborg utilizava uma forma primitiva de criptografia de arquivos para infectar o sistema, tornando os arquivos inacessíveis. Os usuários eram, então, instruídos a enviar dinheiro para um endereço especificado para obter a chave de descriptografia. Esse evento marcou o início do que agora conhecemos como ransomware.
Desde então, os ataques de ransomware evoluíram significativamente em termos de complexidade e sofisticação. Houve várias variantes e famílias de ransomware ao longo dos anos, cada uma incorporando diferentes técnicas de infecção, criptografia e métodos de extorsão. Ransomware tornou-se uma ameaça séria à segurança cibernética, afetando indivíduos, empresas e organizações governamentais em todo o mundo.
O Processo
Ransomware é um tipo de malware que, quando instalado em um sistema, criptografa os arquivos da vítima, tornando-os inacessíveis. O processo de criptografia geralmente envolve várias etapas.
A Infecção inicial do ransomware geralmente entra no sistema através de métodos como e-mails de phishing, downloads de sites maliciosos, exploits de software ou outros vetores de ataque. A execução maliciosa o corre após a infecção, o ransomware é executado no sistema. Pode ser um arquivo executável disfarçado ou um script malicioso. O ransomware varre os diretórios do sistema e, por vezes, redes conectadas em busca de tipos específicos de arquivos para criptografar. Arquivos comumente visados incluem documentos, imagens, vídeos e bancos de dados. A parte intrigante e mais eficaz do ransomware e geração de uma chave de criptografia única. Em alguns casos, os ransomwares utilizam algoritmos de criptografia simétrica e/ou assimétrica. A chave simétrica é usada para criptografar os dados, e a chave assimétrica é usada para criptografar a chave simétrica. Ransomware utiliza a chave gerada para criptografar os arquivos da vítima. A criptografia torna os arquivos ilegíveis sem a chave de descriptografia correspondente. Fase final o resgate (Ransom) e Exibição da Mensagem, após a criptografia, o ransomware exibe uma mensagem na tela da vítima informando que os arquivos foram criptografados e que será necessário pagar um resgate para obter a chave de descriptografia. Geralmente, as instruções de pagamento e as informações para entrar em contato com os atacantes são fornecidas.
Mitigação
A desativação mediante ferramentas de recuperação, algumas variantes de ransomware tentam desativar ou impedir a execução de ferramentas de recuperação de dados, como cópias de sombra de volume do Windows.
É importante notar que pagar o resgate não garante a recuperação dos arquivos, e muitas organizações de segurança e autoridades desaconselham essa prática. Em vez disso, a melhor abordagem é tomar medidas preventivas, como manter backups atualizados, ter soluções de segurança ativas, manter o sistema operacional e software atualizados e educar os usuários sobre práticas seguras online.
