{"id":67940,"date":"2022-04-01T16:32:05","date_gmt":"2022-04-01T19:32:05","guid":{"rendered":"https:\/\/www.psafe.com\/blog\/?p=67940"},"modified":"2024-02-08T12:55:26","modified_gmt":"2024-02-08T15:55:26","slug":"ransomware-locker-o-que-e-e-como-evitar","status":"publish","type":"post","link":"https:\/\/www.psafe.com\/blog\/ransomware-locker-o-que-e-e-como-evitar\/","title":{"rendered":"Ransomware Locker: o que \u00e9 e como evitar"},"content":{"rendered":"\n

O ransomware Locker \u00e9 uma varia\u00e7\u00e3o de outro malware que infectou mais de 250.000 sistemas de computador a partir de 2013, chamado CryptoLocker. O nome \u00e9 derivado da janela que se abre no dispositivo infectado, “trancando” o acesso a outros arquivos. <\/p>\n\n\n\n

Por isso, essa amea\u00e7a foi apelidada de ransomware \u201cLocker\u201d (ou “fechadura” em ingl\u00eas) por Lawrence Abrams<\/a>, editor-chefe do blog Bleeping Computer<\/a>.<\/p>\n\n\n\n

O Cryptolocker, por sua vez, foi um ransomware t\u00e3o perigoso e devastador que exigiu uma for\u00e7a tarefa global para sua derrubada em meados de 2014. Mas no que consiste uma amea\u00e7a ransomware e por que ela \u00e9 t\u00e3o alarmante?<\/p>\n\n\n\n

Neste post, voc\u00ea vai entender melhor o que \u00e9 o ransomware Locker e como proteger seus dispositivos da infec\u00e7\u00e3o.<\/p>\n\n\n\n

O que \u00e9 o ransomware Locker? <\/h2>\n\n\n\n

Os ransomwares nada mais s\u00e3o do que uma categoria de malwares respons\u00e1vel por ciberataques, nos quais a v\u00edtima tem acesso limitado ou bloqueado \u00e0s suas pr\u00f3prias informa\u00e7\u00f5es.<\/p>\n\n\n\n

A tradu\u00e7\u00e3o de ransomware<\/a> seria algo como \u201csoftware de sequestro”, j\u00e1 que os arquivos somente s\u00e3o liberados perante o pagamento de um resgate. Estima-se que esses tipos de ataques bateram um recorde mundial no final do ano passado, desbancando o phishing<\/a> como principal vetor de comprometimento de dados.<\/p>\n\n\n\n

Sendo assim, o ransomware Locker \u00e9 um tipo de malware que criptografa arquivos imediatamente ap\u00f3s a infiltra\u00e7\u00e3o em um computador, usando as criptografias AES-256<\/a> e RSA-2048. A partir deste ponto, os arquivos tornam-se inutiliz\u00e1veis. Tem como alvo todas as vers\u00f5es do Windows, incluindo Windows XP, Windows Vista, Windows 7 e Windows 8.<\/p>\n\n\n\n

O ransomware Locker \u00e9 um v\u00edrus?<\/h3>\n\n\n\n

N\u00e3o \u00e9 correto afirmar que ransomwares se enquadram na mesma categoria que os v\u00edrus. Diferente deles, o Locker n\u00e3o consegue se espalhar ao fazer “c\u00f3pias” de si mesmo. Sua forma de infectar dispositivos \u00e9 por meio de um Trojan<\/a>, que j\u00e1 deve estar instalado no computador da v\u00edtima.<\/p>\n\n\n\n

Os ransomwares s\u00e3o proliferados de v\u00e1rias maneiras, no entanto, os mais populares s\u00e3o e-mails de spam,<\/a> fontes n\u00e3o oficiais de download de softwares, ferramentas falsas de atualiza\u00e7\u00e3o de software e trojans. Os e-mails geralmente cont\u00e9m v\u00e1rios anexos maliciosos (por exemplo, arquivos JavaScript, documentos do MS Office com macros, etc.) que, uma vez abertos, baixam e instalam malwares.<\/p>\n\n\n\n

Fontes de download de software de terceiros (por exemplo, sites de download de freeware, p\u00e1ginas de hospedagem de arquivos gratuitos e assim por diante) proliferam malwares, apresentando-os como software leg\u00edtimo. Assim, os usu\u00e1rios s\u00e3o induzidos a baixar e instalar esses programas maliciosos.<\/p>\n\n\n\n

No caso do Locker, os cavalos de Tr\u00f3ia atuam de forma mais simples, abrindo espa\u00e7o para que o ransomware se infiltre no sistema.<\/p>\n\n\n\n

Caracter\u00edsticas do Locker<\/h2>\n\n\n\n

Embora a infec\u00e7\u00e3o pelo ransomware Locker aconte\u00e7a de forma simples, ela pode causar danos devastadores no computador. Essa amea\u00e7a compartilha muitas semelhan\u00e7as com TBHRanso, WannaDie, RASTAKHIZ e dezenas de outros ransomwares que, embora sejam desenvolvidos por criminosos diferentes, seu comportamento \u00e9 id\u00eantico – todos criptografam dados e exigem resgates.<\/p>\n\n\n\n

Esse ransomware normalmente tem apenas duas diferen\u00e7as principais: o valor do resgate e tipo de criptografia utilizada. Infelizmente, a maioria emprega algoritmos que geram chaves de descriptografia exclusivas.<\/p>\n\n\n\n

Portanto, a menos que o malware n\u00e3o esteja totalmente desenvolvido ou tenha certos bugs\/falhas, \u00e9 praticamente imposs\u00edvel restaurar os arquivos manualmente.<\/p>\n\n\n\n

At\u00e9 hoje, ainda existem variantes do ransomware Locker pela web, e muitos especialistas acreditam que a conscientiza\u00e7\u00e3o de seguran\u00e7a \u00e9 a \u00fanica op\u00e7\u00e3o vi\u00e1vel \u200b\u200bpara impedir os ataques.<\/p>\n\n\n\n

Como acontece o ataque Locker<\/h2>\n\n\n\n

O Trojan que produz o Locker \u00e9 instalado como um servi\u00e7o do Windows, com um nome de arquivo aleat\u00f3rio. Muitas vezes, ele pode residir no diret\u00f3rio :C:\\Windows\\SysWOW64 do sistema de arquivos afetados. Al\u00e9m disso, outro servi\u00e7o \u00e9 instalado no seguinte diret\u00f3rio: C:\\ProgramData\\Steg\\ com o nome de arquivo “Steg.exe”.<\/p>\n\n\n\n

Quando executado, este servi\u00e7o cria uma pasta em C:\\ProgramData\\ chamada “Tor”. Ap\u00f3s a cria\u00e7\u00e3o dela, outro servi\u00e7o \u00e9 instalado, intitulado \u201cLDR\u201d. Seu execut\u00e1vel associado reside em C:\\ProgramData\\rkcl\\ como ldr.exe, totalizando quatro servi\u00e7os em execu\u00e7\u00e3o.<\/p>\n\n\n\n

Este servi\u00e7o, cujo nome pode ser interpretado como \u201cLOADER\u201d, instala e lan\u00e7a um execut\u00e1vel dentro do mesmo diret\u00f3rio (C:\\ProgramData\\rkcl), salvo como “rkcl.ee”. Este programa \u00e9 o principal execut\u00e1vel respons\u00e1vel pelas atividades de ransomware do Locker.<\/p>\n\n\n\n

Assim como acontece com as outras variantes de ransomwares, o Locker vasculha o dispositivo da v\u00edtima em busca de extens\u00f5es de arquivo para criptografar. Depois de criptografar os arquivos, o Locker abrir\u00e1 uma janela que cont\u00e9m o resgate e detalhes sobre as infec\u00e7\u00f5es.<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n

Esta janela explica o que ocorre com o sistema de arquivos e fornece informa\u00e7\u00f5es de pagamento, exigindo um resgate que pode chegar a at\u00e9 US$ 1.600(o equivalente a R$ 7.520).<\/p>\n\n\n\n

Como se proteger<\/h2>\n\n\n\n

Em caso de infec\u00e7\u00e3o, nunca pague a quantia solicitada, pois n\u00e3o h\u00e1 garantia de que os dados ser\u00e3o recuperados. Como prevenir \u00e9 melhor do que remediar, \u00e9 mais eficaz adotar boas pr\u00e1ticas de seguran\u00e7a do que lidar com os ciberataques. <\/p>\n\n\n\n

<\/p>\n\n\n\n

Algumas dicas simples podem ajudar nesse processo.<\/p>\n\n\n\n

Nunca clique em links inseguros<\/h3>\n\n\n\n

Evite acessar links em mensagens de spam ou em sites desconhecidos. Isso evita os downloads autom\u00e1ticos que podem levar \u00e0 infec\u00e7\u00e3o do seu computador. Na d\u00favida, utilize nosso verificador de links<\/a> para saber se pode acessar aquela URL com seguran\u00e7a.<\/p>\n\n\n\n

O mesmo vale para anexos de e-mail suspeitos. O ransomware tamb\u00e9m pode chegar ao seu dispositivo por eles. Para certificar-se de que o e-mail \u00e9 confi\u00e1vel, preste muita aten\u00e7\u00e3o ao remetente e use o Google para verificar se aquele endere\u00e7o realmente pertence a ele.<\/p>\n\n\n\n

Evite divulgar informa\u00e7\u00f5es pessoais<\/h3>\n\n\n\n

Se voc\u00ea receber uma liga\u00e7\u00e3o, mensagem de texto ou e-mail de uma fonte n\u00e3o verific\u00e1vel, n\u00e3o responda. Os cibercriminosos que est\u00e3o planejando um ataque de ransomware podem tentar coletar informa\u00e7\u00f5es pessoais com anteced\u00eancia, que s\u00e3o usadas para personalizar as mensagens de phishing<\/a> especificamente para voc\u00ea. <\/p>\n\n\n\n

Se houver alguma d\u00favida sobre a legitimidade da mensagem, entre em contato diretamente com o remetente.<\/p>\n\n\n\n

Cuidado com dispositivos USB<\/h3>\n\n\n\n

Nunca use pen drives ou outras m\u00eddias de armazenamento no seu computador se voc\u00ea n\u00e3o souber de onde eles vieram. Os cibercriminosos podem ter infectado o meio de armazenamento e colocado em um local p\u00fablico para atrair algu\u00e9m para us\u00e1-lo.<\/p>\n\n\n\n

Mantenha seus programas e sistema operacional atualizados<\/h3>\n\n\n\n

A atualiza\u00e7\u00e3o regular de programas e sistemas operacionais ajuda a proteg\u00ea-lo contra malwares. Ao realizar atualiza\u00e7\u00f5es, certifique-se de se beneficiar dos patches de seguran\u00e7a mais recentes. Isso torna mais dif\u00edcil para os cibercriminosos explorarem vulnerabilidades em seus programas.<\/p>\n\n\n\n

Use apenas fontes de download conhecidas<\/h3>\n\n\n\n

Confie em sites verificados e confi\u00e1veis \u200b\u200bpara downloads. Para isso, certifique-se de que a barra de endere\u00e7os do navegador da p\u00e1gina que voc\u00ea est\u00e1 visitando usa “https” em vez de “http”. Um s\u00edmbolo de escudo ou cadeado na barra de endere\u00e7o tamb\u00e9m pode indicar que a p\u00e1gina \u00e9 segura.<\/p>\n\n\n\n

Use um VPN em redes Wi-Fi p\u00fablicas<\/h3>\n\n\n\n

Ao usar uma rede Wi-Fi p\u00fablica, seu computador fica mais vulner\u00e1vel a ataques. Para se manter protegido, evite usar Wi-Fi p\u00fablico para trabalhar, fazer downloads ou transa\u00e7\u00f5es financeiras. Caso contr\u00e1rio, use um servi\u00e7o de VPN<\/a> seguro.<\/p>\n\n\n\n

Conte com uma solu\u00e7\u00e3o de seguran\u00e7a<\/h3>\n\n\n\n

Considere o uso de prote\u00e7\u00e3o em tempo real para detectar e colocar em quarentena as amea\u00e7as de ransomware antes que criptografem seus arquivos. As solu\u00e7\u00f5es baseadas em Intelig\u00eancia Artificial s\u00e3o as mais eficientes do mercado atual, pois fazem uma an\u00e1lise comportamental e heur\u00edstica das amea\u00e7as.<\/p>\n\n\n\n

\u00c9 assim que funciona o dfndr security<\/strong><\/a>, solu\u00e7\u00e3o de seguran\u00e7a da PSafe baseada em I.A. e que monitora vulnerabilidades e previne o vazamento de dados. Veja no v\u00eddeo abaixo<\/p>\n\n\n\n

\n