Em meados de Agosto de 2016, a equipe de Segurança da Informação da STI/UFBA (ETIR-UFBA) registrou o primeiro caso de Ransomware na Universidade. O Ransomware é um tipo de ataque em que os criminosos realizam uma espécie de sequestro de dados do usuário e pedem o pagamento de um resgate (ransom) para que o proprietário volte a ter acesso a suas informações. Esse caso foi apresentado pelo Gestor de Segurança da Informação da UFBA, Italo Valcy, durante o VI Encontro de Segurança do CERT.Bahia, evento apoiado pela STI/UFBA que visa a orientar e conscientizar a comunidade baiana sobre as questões relacionadas à segurança em sistemas de informação, navegação na Internet, redes sociais, e-mails, dentre outros.
O que é um Ransomware?
Segundo o CERT.br, Ransomware é um tipo de código malicioso que torna inacessíveis os dados armazenados em um equipamento, geralmente usando criptografia, e que exige pagamento de resgate (ransom) para restabelecer o acesso ao usuário. Na prática o Ransomware é uma específice de vírus de computador com uma finalidade criminosa de transformar os seus dados pessoais em um formato ilegível e acessível apenas com uma "senha mestre" de conhecimento apenas do criminosos.
O pagamento do resgate geralmente é feito via bitcoins.
Além de infectar a estação do usuário e criptografar os arquivos locais, é comum que o Ransomware também tente infectar outras máquinas na rede ou até mesmo dispositivos conectados ao sistema (pendrive, celular/smartphone, etc.). Em um caso ocorrido recentemente, o responsável pelo sistema afetado conectou um HD externo na máquina para restaurar a única cópia de backup existente e o Ransomware também criptografou aqueles dados.
O que aconteceu no caso envolvendo a UFBA?
Um importante laboratório da UFBA foi afetado em 2016 por ataques de Ransomware. Na ocasião foram criptografados mais de 15 Gigabytes de dados, em mais de 30 mil arquivos. O responsável pelo local, com apoio da STI/UFBA, conseguiu restaurar muitos desses dados via sistema de backup, porém algumas informações foram de fato perdidas. Naquele caso, houve indícios de que o vetor de infecção tenha sido um pendrive contaminado, porém não foi possível confirmar essa informação, uma vez que o ambiente em questão não tinha o sistema de proteção institucional ativado.
Como devo me proteger?
Para se proteger de ransomware você deve tomar os mesmos cuidados que toma para evitar os outros códigos maliciosos, como ter um antivírus instalado e ser cuidadoso ao clicar em links ou abrir arquivos.
Fazer backups regularmente também é essencial para proteger os seus dados pois, se seu equipamento for infectado, a única garantia de que você conseguirá acessá-los novamente é possuir backups atualizados. O pagamento do resgate não garante que você conseguirá restabelecer o acesso aos dados.
Onde obter mais informações?
Recomendamos a leitura da Cartilha de Segurança do CERT.br, especialmente o fascículo Ransomware.
