No artigo intitulado Ransomware: 10 comportamentos que podemos identificar após a infecção de um sistema, que foi publicado anteriormente, analisamos as maneiras pelas quais diferentes famílias de ransomware podem afetar um usuário. Desta vez, vamos tentar refletir sobre qual ransomware pode ser mais prejudicial, concentrando-se na gravidade dos danos que tais ataques podem causar, dependendo do código malicioso e de sua atividade.
Para analisar esta problemática, é indispensável ter em conta alguns fatores como o modo de propagação, a informação alcançada, a plataforma afetada, o modo de extorsão e se houve vazamento de informações.
Quanto ao modo de propagação, em alguns casos esses códigos maliciosos exploram alguma vulnerabilidade que se estende automaticamente através da rede, em outros casos eles criptografam diretórios mapeados e alguns até detectam serviços na nuvem que também podem ser criptografados. Um exemplo claro desse tipo de propagação foi o WannaCryptor, um ransomware que teve forte impacto em empresas que não tinham seus sistemas operacionais atualizados e que só precisavam infectar um dispositivo para propagar o malware automaticamente pela rede. Este tipo de comportamento é conhecido como ransomworm e é mais prejudicial em comparação com outras campanhas que se espalham por e-mail.
Relativizando o impacto de acordo com a informação afetada
Outro fator importante é que o impacto de um ataque do tipo ransomware dependerá da importância da informação afetada pelo código malicioso, que em muitos casos será uma métrica não quantificável. Se a informação obtida for roubada ou criptografada, a ameaça terá um impacto diferente, dependendo da natureza da informação. Um exemplo claro que serve para refletir está por trás da pergunta: Você preferiria que suas fotos privadas fossem criptografadas e ilegíveis ou distribuídas pela Deep Web?; ou, pior ainda, que ambas situações ocorram? Quando falamos de uma empresa, podemos pensar em um banco de dados de clientes, cotações ou até mesmo segredos industriais.
Discernir de acordo com sua natureza
Se separarmos por um lado os códigos maliciosos do tipo de ransomware que criptografam as informações daqueles que bloqueiam o sistema, os mais críticos seriam aqueles que criptografam as informações. Isto é assim porque em muitos casos aqueles que simplesmente bloqueiam o sistema podem ser eliminados por uma solução de segurança colocando um disco ou uma unidade em modo escravo para uma análise e posterior remoção do malware, ou até mesmo porque a informação pode ser extraída do disco. Desta forma e dependendo da amostra, seria possível restaurar o sistema operacional. No entanto, o que acontece se o ransomware criptografa primeiro as informações e, em uma segunda instância, a ameaça é eliminada por meio de uma solução de segurança? A resposta a essa pergunta é que as informações permanecerão criptografadas e a tarefa de recuperá-las será ainda mais complexa.
Ransomware em todos os lugares
Por outro lado, dependendo da plataforma afetada, será mais simples ou mais complexo restaurar o sistema. Ou seja, muitos usuários poderiam reinstalar um sistema operacional como o Microsoft Windows ou até mesmo um smartphone com Android. Mas, o que acontece se a plataforma afetada pertencer a uma Smart-tv ?, quantos usuários infectados saberiam como restaurar o sistema de sua smart TV? Sem dúvida, essa possibilidade deve ser levada em conta, já que não só afetaria a informação, mas tornaria o hardware inutilizável com grandes perdas econômicas para o usuário afetado.
Malware com vulnerabilidades
Outro ponto a ser analisado é se o código malicioso possui vulnerabilidades que permitem que especialistas em malware gerem patches para recuperar as informações criptografadas ou bloqueadas. Na página nomoreransoware.org você pode encontrar várias vacinas públicas para atenuar esse problema. Infelizmente, na maioria dos casos, quando a informação é criptografada por um desses códigos maliciosos, é improvável que ela possa ser recuperada. Portanto, é muito importante ter cuidado com esses códigos maliciosos.
Conclusão
O pior ransomware é aquele que consegue contornar as medidas de segurança e infectar, roubar e/ou criptografar suas informações mais críticas. Como provavelmente você não queira ser uma testemunha em primeira pessoa dos exemplos anteriores, recomendamos que use soluções de segurança, cópias de backup regulares e mantenha todo o sistema operacional e os aplicativos atualizados. Dessa forma, você poderá estar mais tranquilo e aproveitar as tecnologias observando como o ransomware funciona neste blog e não em seus dispositivos.