Os ataques de RamsonWare são instruções de código malicioso que utilizam vulnerabilidades dos sistemas operativos ou aplicacionais para que sejam “executados” e, desta forma, possam causar o que os piratas pretendem.
Por norma, o código é executado dentro de uma zona de ficheiros temporários do utilizador onde este tem acesso total de escrita. Após a execução é normalmente descarregado um executável que se aloja em memória e acede a todas as zonas do computador e acessos de rede e encripta o conteúdo com uma chave de segurança, chave essa que dado o nível de encriptação é impossível de desencriptar sem acesso à chave.
É deixado no computador infetado por todo o lado ficheiros de texto que incluem as instruções, em que o utilizador tem de enviar um montante de dinheiro para um endereço em método de bitcoins (que não é possível rastrear). Após isso nada garante que os piratas cumpram a sua parte do acordo e enviem a chave de desencriptação.
De referir que após a infeção, geralmente o vírus auto é enviado para todos os contactos de email, o que significa que, o efeito é de rápida multiplicação. Como prevenção, principalmente quando existem surtos deste género, todas as precauções são poucas. É imprescindível ter backups offline (que não estejam conectados ao computador), ter cuidado se recebermos emails de pessoas que por norma não nos enviam emails e evitar abrir anexos.
Quando existem ataques desta magnitude é normal as grandes empresas de segurança se unirem num esforço de tentar arranjar um antivírus que consiga decifrar e desencriptar a versão do Ransomware que está a ocorrer.
