Se você tem alguma dúvida sobre segurança da informação (antivírus, invasões, cibercrime, roubo de dados etc.) vá até o fim da reportagem e utilize o espaço de comentários ou envie um e-mail para g1seguranca@globomail.com. A coluna responde perguntas deixadas por leitores no pacotão, às quintas-feiras.

Vírus de resgate (ou "ransomwares") são pragas digitais que "embaralham" os dados dos arquivos presentes no computador de tal maneira que eles não são mais legíveis. Isso significa que suas fotos, músicas e documentos não podem mais ser recuperados -- exceto com um pagamento, normalmente por meio da moeda criptográfica Bitcoin. Mas o que deve ser feito por quem é infectado?

Infelizmente, não há muito o que fazer para obter seus arquivos de imediato. Os vírus de resgate em geral utilizam técnicas para embaralhar as informações de maneira competente, de modo que não é possível simplesmente "quebrar" o código usado para embaralhar os arquivos. Se você não tem os dados guardados em disco secundário (um backup), sua única opção para recuperar os dados é mesmo pagar.

Mas há uma esperança, por mais pequena que ela seja. Chaves de alguns vírus de resgate já foram obtidas pelas autoridades após a prisão dos responsáveis por alguns desses vírus. Na semana passada, o autor do vírus de resgate TeslaCrypt decidiu liberar uma "chave mestre" capaz de decifrar todos os arquivos embaralhados por duas versões do vírus.

Há também a possibilidade de que uma falha seja encontrada no código do vírus e que isso eventualmente permita resgatar as informações. Isso aconteceu com o vírus de resgate Petya e com versões mais antigas do TeslaCrypt.

Criando uma imagem
Se você quer ter alguma chance de recuperar seus arquivos um dia sem pagar, vale a pena guardar os arquivos que foram criptografados pelo vírus. Mas é importante que essa cópia não seja feita normalmente. Um "CTRL-C/CTRL-V" infelizmente não dá conta do recado.

Isso porque, caso algum "truque" venha a ser descoberto no futuro, é possível que ele dependa de alguma informação específica do sistema. Se os arquivos forem guardados soltos, essas informações do sistema se perderão e é possível que os dados não possam ser recuperados.

Por isso, é importante que o disco rígido seja armazenado integralmente, em seu estado completo. Uma opção é simplesmente guardar o disco rígido contaminado e guardar outro. Isso pode valer a pena especialmente se ele estava cheio de arquivos. Mas outra possibilidade é fazer uma "cópia idêntica" do disco capaz de restaurar o sistema ao estado atual. Diz-se que isso é "criar uma imagem" do disco.

O próprio Windows tem uma ferramenta capaz disso, disponível no Painel de Controle. É possível usar a opção "Criar uma imagem do sistema". E existem outros programas grátis que podem fazer a mesma tarefa. Um deles é o "Reflect" (baixe aqui). Basta clicar em "Image this disk" no disco que você quer manter para mais tarde.

Como o arquivo da imagem pode ter centenas de gigabytes, recomenda-se usar um HD externo para armazená-lo.

Esse processo pode ser feito mesmo depois do vírus em si já ter sido removido do computador (pelo menos se ele não é do tipo que bloqueia a máquina inteira), mas o ideal é fazer em outro computador após remover o disco rígido do sistema que foi contaminado. Isso não deve contaminar o outro computador.

Aliás, uma imagem serve para recuperar o sistema e não tem utilidade só em casos como esse, mas a coluna não vai entrar nesse assunto aqui. Aplicar uma imagem criada e restauarar o sistema é mais difícil do que criar a imagem, já que pode necessitar de um "disco de inicialização", dado que você não pode sobrescrever o próprio disco onde está o sistema operacional. Em todo caso, isso é uma preocupação para quando (e se) uma solução for encontrada.

Tela do programa Reflect, que permite escolher mais opções na criação da imagem. (Foto: Reprodução)

Recolhendo informações
Identifique qual foi o vírus de resgate que contaminou seu computador. Olhe bem para as mensagens que apareceram na tela, as novas extensões dos seus arquivos: alguns vírus mudam as extensões dos arquivos para terminações específicas, o que pode auxiliar na identificação da praga que contaminou o seu computador.

Tome cuidado com o nome que a própria praga se dá, porque alguns vírus copiam as mensagens de outros, o que significa que vírus diferentes usam a mesma mensagem. É como uma "falsidade ideológica" dos ´vírus de computador.

Um antivírus é extremamente útil nessa tarefa, já que pode exibir o nome do vírus quando este for detectado pelo programa.

Uma vez feito isso, guarde a imagem que você criou, reinstale o Windows no seu computador e cruze os dedos. Não há garantia nenhuma.

Não tenha pressa
As "possíveis soluções" para um vírus de resgate provavelmente vão surgir apenas depois do vírus já estar em desuso. Isso porque a maior possibilidade disso é a obtenção das chaves pela polícia e, quando isso acontecer, os criminosos já estarão presos e o vírus desativado. Além disso, os golpistas não vão usar um vírus com uma falha conhecida. Isso significa que a chance de existir uma solução para um vírus ativamente em uso por criminosos é muito baixa. Chances melhores - embora não tão melhores - estão no futuro. Por isso a importância de guardar seus arquivos e ter alguma paciência.

Se você estiver pensando em pagar para ter seus arquivos de volta, tenha muito cuidado. Não há garantia de que o criminoso vá mesmo cumprir a parte dele do "acordo". É possível que ele peça mais dinheiro.

Como sempre, a melhor saída é a prevenção. Ter um backup -- uma cópia secundária dos seus dados -- não serve apenas para vírus, mas também para falhas de hardware, falhas de uso (remoção de um arquivo por acidente, por exemplo), quedas de energia e outros problemas que ocasionam perda de dados. Fazer um backup é uma medida de excelente custo-benefício e, por isso, altamente recomendada.

Fotos: Ransomware Petya e Backup do Windows (Reprodução)
Siga a coluna no Twitter em @g1seguranca.