Imagine você chegando no seu escritório para trabalhar. Como é início de mês, tem de finalizar as importações, começar a gerar as guias e transmitir as obrigações do período, pois os clientes já estão cobrando.

Ao tentar acessar o sistema, percebe várias mensagens de erro e não encontra mais as informações que estavam lá no dia anterior.

Todo o trabalho de importação, ajustes, conferência, assim como todo o histórico das empresas durante todo o tempo que esteve com o escritório, simplesmente desapareceu.

Obviamente, você tenta contato com suporte técnico que após analisar o problema, passa o diagnóstico: o seu escritório foi vítima de um sequestro de dados.

Como coordenador de uma equipe que presta suporte a escritórios contábeis, tenho me deparado mais e mais com esta mesma história. Mas afinal o que é sequestro de dados?

O sequestro de dados é uma prática criminosa que vem crescendo exponencialmente em todo o mundo.

Se valendo de brechas na infraestrutura de TI das empresas, os criminosos utilizam programas chamados de "ramsonwares" que é a fusão das palavras inglesas "ransom" (resgate) e "malwares"(software malicioso).

Apesar do nome “sequestro de dados”, o golpe não envolve transferência dos dados do computador, o que o programa faz é criptografar arquivos importantes como banco de dados, documentos e imagens. Ao final ele deixa uma mensagem de "resgate" com instruções de como efetuar o depósito dos valores para que se recupere o acesso as informações.

Como o meu escritório foi infectado?

Existem várias formas, mas a mais comum é pela caixa de e-mail. Através de mensagens falsas, geralmente com temas atuais e recorrentes no dia a dia do escritório como "Aviso de CND Negativa", "Novas Leis de tributação", "Segue notas fiscais", os usuários são induzidos a abrir os anexos que na verdade são executáveis com extensões PDF, JPG e outras de aparência inofensiva, e assim iniciar a infecção.

O vírus Cryptowall por exemplo, utiliza o JavaScript como parte de um anexo de e-mail, que baixas executáveis disfarçados como imagens.

Depois de instalado, o programa começará a procurar por arquivos de dados como: (Xls, wpd, wb2, txt, tex, swf, SQL, tf, RAW, ppt, png, pem, pdf, pdb, PAS, odt, obj, msg, mpg, mp3, lua, key, jpg, hpp, gif, eps, DTD, doc, der, CRT, cpp, cer, bmp, bay, avi, Ava, ass, asp, js, py, PL, dB). Ele faz isso varrendo todas as unidades conectadas incluindo unidades removíveis e mapeamentos de rede.

Note que o programa foca apenas nos arquivos que contenham “informação”. Ele não afeta a instalação do sistema operacional.

Nas pastas que continham os dados podem ser encontrados arquivos .TXT, .HTML e .PNG com informações sobre o que aconteceu com seus dados e qual o procedimento para recuperá-los. O arquivo .URL é um atalho para um site onde você informará o recibo de pagamento afim de obter a senha que permitirá descompactar os arquivos.

Comumente, os sequestradores pedem que o resgate seja pago em Bitcoins, que é uma moeda virtual aceita em todo o mundo. Um dos motivos para esta escolha, é que as transferências de Bitcoins podem ser feitas diretamente de uma pessoa para outra de forma anônima, impedindo assim o rastreamento. Atualmente um (1,00) Bitcoin equivale a três mil novecentos e dezessete reais (R$ 3.917,00) e vários bancos, incluído os brasileiros, convertem o Bitcoin em reais.

Exemplo de mensagem com instruções para o pagamento do resgate dos dados do CTB-Locker:

Fonte: http://www.abctec.com.br/sequestro-da-dados-alerta-aos-nossos-clientes-e-parceiros-comerciais/

É possível descriptografar estes arquivos sem pagar o resgate?

É um pouco mais complicado que isso. Apesar dos arquivos estarem basicamente compactados, a tecnologia de criptografia utilizada é muito avançada e demanda muito empenho e recursos para conseguir descobrir estas senhas. Para piorar, na mesma velocidade que elas são quebradas, surgem novas variantes dos vírus com tecnologias mais complexas.

A forma mais rápida e segura para se recuperar os dados afetados, com garantia de integridade e retomar a rotina de trabalho é através da cópia de segurança ou backup.

Implementar uma rotina de backup não é algo complicado, difícil ou caro de se fazer, exige apenas disciplina e planejamento.

O primeiro passo é definir os arquivos que serão salvos e sendo um escritório contábil, há muita coisa:

1. Notas fiscais eletrônicas(xml);

2. Recibos de entregas(SPED, DCTF, EFC, etc…);

3. E-mails;

4. Recibos de pagamentos;

5. Sistemas(Fiscal, Contábil, Folha de pagamento);

6. Contratos;

Em seguida, defina a ferramenta que será utilizada. Existem vários aplicativos gratuitos que executam muito bem esta função, um dos mais conhecidos é o Cobian Backup.

É fácil de configurar, é gratuito, e já está na sua 11.0. São quase 17 anos de experiência. Possui muitos recursos úteis, como criptografia, você pode programar ações antes e depois do backup, possibilidade de salvar a cópia nas nuvens entre outros.

Existem vários tutoriais na internet que ensinam como configurar esta ferramenta, basta acessar o Youtube e pesquisar.

Por fim algumas regras que devem ser levadas a sério ao se implementar uma rotina de backup eficiente:

Tenha quantas cópias possíveis – De nada adianta o backup estar no mesmo HD que os dados originais. Qualquer problema com ele comprometerá o backup também. Salve uma cópia em mídia externa como DVDs, Pendrives, Hd Externos e nas nuvens. De preferência, deixe cópias fora do escritório também;

Verifique a integridade das cópias – Não deixe para verificar se o backup foi feito correto somente quando precisar dele. Sempre que possível tente recuperar alguns arquivos aleatoriamente para checar se as cópias estão sendo feitas corretamente;

Tenha sempre um servidor reserva – Nunca se sabe quando você vai precisar dele. Mesmo que você tenha a cópia dos arquivos, em caso de um ataque virtual, será necessário fazer uma varredura ou até formatar o servidor antes de recuperar os dados. Isso demanda tempo. Com um servidor reserva, o seu escritório pode ficar operacional em poucas horas.

O backup não previne apenas danos causados pelos ramsonwares. Falhas elétricas, problemas no HD, roubo, incêndio e funcionários insatisfeitos também podem causar muitos estragos ao escritório contábil.

E se eu não tiver backup?

Neste caso é melhor rezar, literalmente. Mas ainda há uma esperança.

Muitas empresas da área de segurança e redes vem pesquisando soluções e disponibilizando ferramentas gratuitas para tentar auxiliar aqueles que foram afetados a recuperarem os arquivos sem ter de pagar o resgate. Vale a pena conferir.

Kaspersky Lab

A Kaspersky Lab, desenvolvedora russa do antivírus Kaspersky, desenvolveu um portal que fornece informações e ferramentas para tentar recuperar os arquivos criptografados por alguns ransomwares conhecidos.

Site: https://noransom.kaspersky.com/

Talos TeslaCrypt Decryption Tool

O grupo de segurança da Cisco fez uma análise detalhada do TeslaCrypt, uma variante do CryptoWall, que foi recentemente descoberto. Além disso, eles disponibilizaram uma ferramenta que irá auxiliar na recuperação de seus arquivos.

Site: http://blogs.cisco.com/security/talos/teslacrypt

Existem outras duas ferramentas que podem ajudar a recuperar seus arquivos que foram criptografados pelo TeslaCrypt. Confira os links abaixo.

https://github.com/Googulator/TeslaCrack

http://download.bleepingcomputer.com/BloodDolly/TeslaDecoder.zip

Força conjuta

O website "No-More-Ransom" é uma iniciativa da Polícia Nacional de Crimes de Alta Tecnologia da Holanda, do Centro Europeu de Cibercriminalidade da Europol e duas empresas de segurança cibernética: Kaspersky Lab e Intel Security. O objetivo é ajudar as vítimas de ransomware a recuperar seus dados criptografados sem ter que pagar os criminosos.

https://www.nomoreransom.org/

TrendMicro

A TrendMicro também tem uma ferramenta que consegue remover a criptografia de alguns tipos de ransomwares e tem sido atualizada constantemente. Atualmente a ferramenta suporta o CryptXXX, TeslaCrypt, SNSLocker, AutoLocky, BadBlock, 777, XORIST, XORBAT, CERBER, Stampado, Nemucod, Chimera, LECHIFFRE e MirCop.

https://success.trendmicro.com/solution/1114221

DropBox e Google Drive

Se os seus arquivos no DropBox ou Google Drive foram criptografados por um ransomware, eles oferecem uma opção de você recuperar os arquivos para uma versão mais antiga, confira nos endereços abaixo:

DropBox: https://www.dropbox.com/help/8408

Google Drive: https://support.google.com/drive/answer/2409045?hl=en

Recuperando os arquivos deletados.

Como mencionei, após criptografar os dados, o vírus deleta os arquivos originais.

Ao se deletar um arquivo, ele não necessariamente deixa de existir. Ele continuará no seu computador, mas estará inacessível e invisível ao Windows.

Isto porque o Windows remove apenas o endereço do arquivo deletado na tabela de alocação de arquivos e libera a área do disco que ele usa para gravação de novos dados. Enquanto essa área não é sobrescrita por novos arquivos, existe a possibilidade de recuperação das informações que estavam gravados nessa área.

Alguns programas que podem recuperar estes arquivos:

1. Recuva;

2. Disk Drill;

3. QPhotoRec;

4. Power Data Recovery;

5. DiskDigger;

6. iCare Data Recovery Free

Vale lembrar que este método não é garantia de que seus arquivos serão recuperados integralmente. Vai depender também dos tipos de dados que você deseja recuperar.

Arquivos menores como documentos, fotos, e-mails e planilhas tem mais chance de serem recuperados desta forma. O mesmo não se aplica a bases de dados de sistemas.

A única solução que permite a recuperação integral é a cópia de segurança ou backup.

Conclusão

Prevenção ainda é a melhor solução. Atitudes simples podem evitar uma grande dor de cabeça que pode inclusive causar o fechamento do escritório.

Use sempre software original e procure mantê-lo atualizado. Programas piratas podem vir acompanhados de vírus e outras pragas virtuais;

Use antivírus e firewall confiáveis e os mantenha sempre atualizados;

Não abrir e-mails com anexos suspeitos, como por exemplo, com a extensão “.exe”.;

Desconectar da rede ou desligar a energia quando desconfiar que o ransomware está sendo executado, para interromper o processo de criptografia dos arquivos;

Habilitar o recurso de restauração do sistema, o que permitirá reverter a um estado prévio e sem a infecção.

Habilitar a função de exibição das extensões dos arquivos. O ransomware pode se disfarçar de arquivo com alguma extensão confiável, como um PDF. Vendo o nome completo do arquivo, é possível identificar um *.pdf.exe, por exemplo