Ransomware

O ransomware é uma forma de malware que bloqueia o acesso do usuário aos seus arquivos ou ao seu dispositivo e, em seguida, exige um pagamento para restaurar o acesso. Os atacantes de ransomware atingem empresas, organizações e indivíduos.

Antivírus gratuito

Principais conclusões

  • O ransomware é um tipo de malware que impede os usuários de acessar seus sistemas ou arquivos pessoais até que seja pago um resgate. Daí o nome “ransomware”.
  • Os pagamentos de resgate ultrapassaram US$ 1 bilhão por ano pela primeira vez em 2023, enquanto o valor médio do resgate subiu para US$ 620.000.
  • Em 2024, Threatdown um aumento de 63% nos ataques de ransomware nos Estados Unidos e um aumento de 67% nos ataques de ransomware no Reino Unido. 
  • A partir de 2026, os invasores aprimoraram a velocidade e a discrição de seus ataques com novas táticas. 
  • Existem diferentes tipos de ransomware, como scareware, bloqueadores de tela, ransomware de criptografia e outros.
  • Os ataques de ransomware afetam as empresas, mas os consumidores particulares também são vítimas.

O que é ransomware?

Definição de ransomware

O malware de resgate, ou ransomware, é um tipo de malware que impede que os usuários acessem seus sistemas ou arquivos pessoais e exige o pagamento de um resgate para recuperar o acesso. Embora algumas pessoas possam pensar que "um vírus travou meu computador", o ransomware normalmente é classificado como uma forma de malware diferente de um vírus.

As primeiras variantes de ransomware foram desenvolvidas no final da década de 1980, e o pagamento deveria ser enviado por correio tradicional. Hoje em dia, os autores de ransomware ordenam que o pagamento seja enviado por meio de criptomoeda ou cartão de crédito, e os atacantes têm como alvo indivíduos, empresas e organizações de todos os tipos. Alguns autores de ransomware vendem o serviço a outros criminosos cibernéticos, o que é conhecido como Ransomware-as-a-Service ou RaaS.

Ataques de ransomware

Como exatamente um agente de ameaça realiza um ataque de ransomware? Primeiro, ele precisa obter acesso a um dispositivo ou rede. O acesso permite que ele utilize o malware necessário para criptografar ou bloquear seu dispositivo e seus dados. Há várias maneiras diferentes pelas quais o ransomware pode infectar seu computador

Como posso obter ransomware?

  • Malspam: Para obter acesso, alguns agentes de ameaças usam o spam, em que enviam um e-mail com um anexo mal-intencionado para o maior número possível de pessoas, para ver quem abre o anexo e "morde a isca", por assim dizer. O spam malicioso, ou malspam, é um e-mail não solicitado que é usado para distribuir malware. O e-mail pode incluir anexos com armadilhas, como PDFs ou documentos do Word. Ele também pode conter links para sites mal-intencionados.
  • Malvertising: Outro método de infecção popular é o malvertising. Malvertising, ou publicidade maliciosa, é o uso de publicidade on-line para distribuir malware com pouca ou nenhuma interação com o usuário. Ao navegar na Web, mesmo em sites legítimos, os usuários podem ser direcionados a servidores criminosos sem nunca clicar em um anúncio. Esses servidores catalogam os detalhes sobre os computadores das vítimas e suas localizações e, em seguida, selecionam o malware mais adequado para distribuição. Muitas vezes, esse malware é um ransomware. O malvertising geralmente usa um iframe infectado, ou elemento invisível de página da Web, para fazer seu trabalho. O iframe é redirecionado para uma página de destino de exploração e o código mal-intencionado ataca o sistema a partir da página de destino por meio de um kit de exploração. Tudo isso acontece sem o conhecimento do usuário, e é por isso que muitas vezes é chamado de drive-by-download.
  • Spear phishing: um meio mais direcionado para um ataque de ransomware é o spearphishing. Um exemplo de spear phishing seria o envio de e-mails aos funcionários de uma determinada empresa, alegando que o CEO está pedindo que você responda a uma importante pesquisa com os funcionários ou que o departamento de RH está solicitando o download e a leitura de uma nova política. O termo "whaling" é usado para descrever esses métodos direcionados a tomadores de decisão de alto nível em uma organização, como o CEO ou outros executivos.
  • Engenharia social: Malspam, malvertising e spear phishing podem conter, e frequentemente contêm, elementos de engenharia social. Os agentes de ameaças podem usar a engenharia social para enganar as pessoas e fazê-las abrir anexos ou clicar em links, aparentando ser legítimos, seja por parecerem ser de uma instituição confiável ou de um amigo. Os criminosos cibernéticos usam a engenharia social em outros tipos de ataques de ransomware, como se passar pelo FBI para assustar os usuários e fazê-los pagar uma quantia em dinheiro para desbloquear seus arquivos. Outro exemplo de engenharia social seria se um agente de ameaça reunisse informações de seus perfis públicos de mídia social sobre seus interesses, lugares que você visita com frequência, seu trabalho etc., e usasse algumas dessas informações para enviar uma mensagem que lhe pareça familiar, esperando que você clique antes de perceber que não é legítima. 
Infográfico sobre malvertising e ransomware.

Criptografia de arquivos e exigência de resgate

Seja qual for o método usado pelo agente da ameaça, depois que ele obtém acesso e o software de ransomware (normalmente ativado pela vítima ao clicar em um link ou abrir um anexo) criptografa seus arquivos ou dados para que você não possa acessá-los, você verá uma mensagem exigindo o pagamento de um resgate para restaurar o que foi tirado. Geralmente, o invasor exige o pagamento por meio de criptomoeda.

Tipos de ransomware

Os três principais tipos de ransomware incluem scareware, bloqueadores de tela e ransomware de criptografia:

  • Scareware: O scareware, como se vê, não é tão assustador assim. Ele inclui software de segurança desonesto e golpes de suporte técnico. Você pode receber uma mensagem pop-up informando que um malware foi descoberto e que a única maneira de se livrar dele é pagar. Se você não fizer nada, provavelmente continuará a ser bombardeado com pop-ups, mas seus arquivos estarão basicamente seguros. Um programa de software de segurança cibernética legítimo não solicitaria clientes dessa forma. Se você ainda não tiver o software dessa empresa no computador, ela não o estará monitorando para detectar infecção por ransomware. Se você tiver um software de segurança, não precisará pagar para que a infecção seja removida - você já pagou pelo software para fazer esse trabalho.
  • Bloqueadores de tela: Atualize para o alerta laranja de terror para esses tipos. Quando o ransomware de tela bloqueada entra no seu computador, isso significa que você fica totalmente fora do PC. Ao iniciar o computador, uma janela em tamanho real será exibida, geralmente acompanhada de um selo oficial do FBI ou do Departamento de Justiça dos EUA dizendo que uma atividade ilegal foi detectada em seu computador e que você deve pagar uma multa. No entanto, o FBI não bloqueia o acesso ao seu computador nem exige pagamento por atividade ilegal. Se eles suspeitassem de pirataria, pornografia infantil ou outros crimes cibernéticos, eles passariam pelos canais legais apropriados.
  • Ransomware de criptografia: Esse é o material realmente desagradável. São aqueles que se apoderam de seus arquivos e os criptografam, exigindo pagamento para descriptografá-los e entregá-los novamente. O motivo pelo qual esse tipo de ransomware é tão perigoso é que, uma vez que os criminosos cibernéticos obtêm seus arquivos, nenhum software de segurança ou restauração do sistema pode devolvê-los a você. A menos que você pague o resgate, na maioria das vezes, eles desaparecem. E mesmo que você pague, não há garantia de que os criminosos cibernéticos devolverão os arquivos.

Ransomware Mac

Saiba mais sobre o KeRanger, o primeiro verdadeiro ransomware Mac .

Como não querem ficar de fora do jogo do ransomware, os autores de malware Mac lançaram o primeiro ransomware para Mac OS em 2016. Chamado de KeRanger, o ransomware infectou um aplicativo chamado Transmission que, quando iniciado, copiava arquivos maliciosos que permaneciam em execução silenciosa em segundo plano por três dias até serem detonados e criptografarem arquivos. Felizmente, o XProtect, programa antimalware integrado da Apple, lançou uma atualização logo após a descoberta do ransomware que o impediria de infectar os sistemas dos usuários. No entanto, o ransomware Mac não é mais teórico. 

Depois do KeRanger, vieram o Findzip e o MacRansom, ambos descobertos em 2017. Mais recentemente, em 2020, surgiu o que parecia ser um ransomware(ThiefQuest, também conhecido como EvilQuest), mas descobriu-se que era, na verdade, o que se chama de "limpador". Ele fingia ser um ransomware para encobrir o fato de que estava exfiltrando todos os seus dados e, embora criptografasse os arquivos, nunca tinha uma maneira de os usuários descriptografá-los ou entrar em contato com a quadrilha para fazer pagamentos. 

Ransomware móvel

Não foi até o auge do infame CryptoLocker e outras famílias semelhantes em 2014 que o ransomware foi visto em grande escala em dispositivos móveis. O ransomware para dispositivos móveis geralmente exibe uma mensagem informando que o dispositivo foi bloqueado devido a algum tipo de atividade ilegal. A mensagem afirma que o telefone será desbloqueado após o pagamento de uma taxa. O ransomware para dispositivos móveis geralmente é fornecido por meio de aplicativos mal-intencionados e exige que você inicialize o telefone no modo de segurança e exclua o aplicativo infectado para recuperar o acesso ao seu dispositivo móvel.

Como posso remover o ransomware?

Dizem que uma grama de prevenção vale mais que um quilo de cura. Isso certamente é verdade quando se trata de ransomware. Se um invasor criptografar seu dispositivo e exigir um resgate, não há garantia de que ele o descriptografará, quer você pague ou não.

Por isso, é fundamental estar preparado antes de ser atingido por um ransomware. Duas medidas importantes a serem tomadas são:

  • Instale um software de segurança antes de ser atingido por um ransomware
  • Faça backup de seus dados importantes (arquivos, documentos, fotos, vídeos, etc.)

Se você se deparar com uma infecção de ransomware, a regra número um é nunca pagar o resgate. (Esse conselho agora é endossado pelo FBI.) Tudo o que isso faz é incentivar os criminosos cibernéticos a lançar ataques adicionais contra você ou outra pessoa. 

Uma possível opção para a remoção de ransomware é a possibilidade de recuperar alguns arquivos criptografados usando descriptografadores gratuitos. Para ser claro: nem todas as famílias de ransomware tiveram decodificadores criados para elas, em muitos casos porque o ransomware está utilizando algoritmos de criptografia avançados e sofisticados.

E mesmo que haja um decodificador, nem sempre fica claro se ele é para a versão correta do malware. Você não quer criptografar ainda mais seus arquivos usando o script de descriptografia errado. Portanto, você precisará prestar muita atenção à própria mensagem de resgate ou talvez pedir a orientação de um especialista em segurança/TI antes de tentar qualquer coisa.

Outras maneiras de lidar com uma infecção por ransomware incluem o download de um produto de segurança conhecido por remediação e a execução de uma varredura para remover a ameaça. Talvez você não recupere seus arquivos, mas pode ter certeza de que a infecção será eliminada. No caso do ransomware de bloqueio de tela, uma restauração completa do sistema pode ser necessária. Se isso não funcionar, você pode tentar executar uma verificação a partir de um CD ou unidade USB inicializável.

Se quiser tentar impedir uma infecção de ransomware criptografado em ação, você precisará ficar particularmente atento. Se perceber que seu sistema está ficando lento sem motivo aparente, desligue-o e desconecte-o da Internet. Se, ao inicializar novamente, o malware ainda estiver ativo, ele não poderá enviar ou receber instruções do servidor de comando e controle. Isso significa que, sem uma chave ou uma forma de extrair o pagamento, o malware pode ficar inativo. Nesse momento, baixe e instale um produto de segurança e execute uma verificação completa.

No entanto, essas opções de remoção de ransomware não funcionarão em todos os casos. Conforme observado acima, para os consumidores, seja proativo em sua defesa contra o ransomware instalando um software de segurança como o Malwarebytes Premiume fazendo o backup de todos os seus dados importantes. Para as empresas, saiba mais sobre as soluções empresariais Malwarebytes que incluem detecção, prevenção e reversão de ransomware

Como posso me proteger do ransomware?

Os especialistas em segurança concordam que a melhor maneira de se proteger contra o ransomware é evitar que ele ocorra em primeiro lugar.


Leia sobre as melhores maneiras de evitar uma infecção por ransomware.

Leia sobre as melhores maneiras de evitar uma infecção por ransomware.

Embora existam métodos para lidar com uma infecção por ransomware, eles são soluções imperfeitas, na melhor das hipóteses, e geralmente exigem muito mais habilidade técnica do que o usuário médio de computador. Portanto, aqui está o que recomendamos que as pessoas façam para evitar as consequências de ataques de ransomware.

A primeira etapa na prevenção do ransomware é investir em uma segurança cibernética incrível - um programa com proteção em tempo real projetado para impedir ataques avançados de malware, como o ransomware. Você também deve procurar recursos que protejam os programas vulneráveis contra ameaças (uma tecnologia anti-exploração) e que impeçam o ransomware de manter os arquivos como reféns (um componente anti-ransomware ). Os clientes que estavam usando a versão premium do Malwarebytes para Windows, por exemplo, estavam protegidos contra todos os principais ataques de ransomware de 2017.

Em seguida, por mais que isso possa ser incômodo, é necessário criar backups seguros dos seus dados regularmente. Recomendamos usar um armazenamento em nuvem que inclua criptografia de alto nível e autenticação multifatorial. No entanto, você pode adquirir pen drives ou um disco rígido externo para salvar arquivos novos ou atualizados — apenas certifique-se de desconectar fisicamente os dispositivos do computador após fazer o backup, caso contrário, eles também podem ser infectados por ransomware.

Em seguida, certifique-se de que seus sistemas e softwares estejam atualizados. O surto do ransomware WannaCry se aproveitou de uma vulnerabilidade no software da Microsoft. Embora a empresa tenha lançado um patch para a brecha de segurança em março de 2017, muitas pessoas não instalaram a atualização, o que as deixou expostas ao ataque. Entendemos que é difícil ficar por dentro de uma lista cada vez maior de atualizações de uma lista cada vez maior de softwares e aplicativos usados no seu dia a dia. É por isso que recomendamos alterar suas configurações para ativar a atualização automática.

Por fim, mantenha-se informado. Uma das maneiras mais comuns de infectar computadores com ransomware é por meio de engenharia social. Eduque-se(e aos seus funcionários, se você for proprietário de uma empresa) sobre como detectar malspam, sites suspeitos e outros golpes. E, acima de tudo, use o bom senso. Se parecer suspeito, provavelmente é.

Quem são hackers?

O que é scareware?

O que é spyware?