+55 51 3331.1446 | +55 51 3331.7011 | +55 51 3391.7387   comercial@lnx-it.inf.br    

O QUE É RANSOMWARE?

O ransomware é um malware que encripta arquivos geralmente com criptografia alta e exclui os arquivos originais. Alguns minutos após a infecção você receberá um e-mail informando um valor a ser pago para resgatar seus dados. O valor e o texto da mensagem podem variar e o pagamento é normalmente Bitcoin. A vítima faz o pagamento e o atacante desaparece sem deixar rastros.

Infelizmente, o crescimento de ransomware está sendo impulsionado em mundo todo devido a usuários que arriscam pagar para obter seus dados, entretanto, não foram registrados pelas autoridades e fabricantes de antivírus, usuários que pagaram e que tiveram seus dados restaurados.

 

 

 

É POSSÍVEL RECUPERAR MEUS ARQUIVOS?

Devido aos arquivos estarem encriptados com criptografia alta eles só podem ser recuperados a partir do backup.

Existem algumas ferramentas de terceiros desenvolvidas para variantes e versões específicas de ransomware que podem restaurar dados que foram encriptados, entretanto, isto cobre apenas uma ínfima parcela da população de ransomwares existentes, logo não existem meios ou garantias de restauração. O motivo principal é que novas versões de ransomware são lançadas diariamente e elas estão em constante aperfeiçoamento.

 

 

 

EXISTEM MUITAS VARIANTES?

Segundo a BitDefender, 400 novos tipos de ransomware são lançados por hora, logo o volume de ameaças ultrapassa a casa dos milhões. Além disto, a cada 40 segundos uma empresa é atacada, perfazendo um volume de 5 milhões de ataques por hora.

O primeiro conhecido foi o Dirty Decrypt, após ele veio o CryptoLocker, PowerLocker, Citroni, CryptoWall, CryptoWall 2, CryptoWall 3, Cryptowall 4, Torrent Locker, Cryptographic Locker, TeslaCrypt que utiliza criptografia simétrica RSA-2048 para criptografar os arquivos e atualmente o número de novas famílias de ransomware prolifera rapidamente.

Segundo a IBM,  o número de ataques em 2017 superou todas as previsões, mas este cenário tornou-se ainda pior após o furto de ciberarmas e pesquisas militares da National Security AgencyNSA. O material obtido pelo grupo Shadow Brokers permitiu a criação de uma nova família de ransomware com capacidades de trojan, as quais permitem a amplas replicação em redes locais, permitindo um amplo espectro de destruição de dados.  Recentemente foi liberada na internet uma versão desta arma cibernética chamada WannaCry e GoldenEye, os quais causaram a interrupção das atividades de empresas públicas e privadas em todo mundo e uma massiva perda de informação. Segundo especialistas, esta versão foi apenas um teste e esperam-se muitas variantes de alta periculosidade nos próximos meses.

Felizmente os clientes BitDefender foram protegidos contra ambas as ameaças,  a inteligência artificial embarcada nas soluções BitDefender detectou a propagação das ameaças em suas primeiras horas de atividade e foi capaz de prover uma vacina rapidamente.

 

 

 

COMO O RANSOMWARE SE DISTRIBUI E COMO ELE ATACA:

Existem muitas formas de propagação:

  • 92% dos ataques são causados por phishing veiculados via e-mail.
  • Sites fraudulentos com downloads infectados ou iframes ocultos com ransomware embutido,
  • Links em postagens de redes sociais, blogs ou mensageiros instantâneos.
  • Vulnerabilidades de sistema operacional.

Dependendo da variante o ransomware pode atacar:

  • Discos externos e internos.
  • Setor de boot (MBR)
  • Arquivos e pastas do disco local (incluindo arquivos de backup)
  • Partições em disco.
  • Compartilhamentos de rede.
  • Cartões SD.
  • Volumes do Microsoft Shadow Copy. (Normalmente, os dados são deletados.)

 

 

 

QUAIS OS SISTEMAS OPERACIONAIS PODEM SER ATACADOS?

Praticamente todos que existem (Windows, Linux, MAC, Unix, IOS, Android e Windows Phone). Ele ataca todos os tipos de dispositivos também, PCs, servidores, tablets e smartphones.

Estes malwares podem atacar compartilhamentos de rede e muito frequentemente a infecção começa em estações de trabalho.

 

 

 

O QUE AS AUTORIDADES ESTÃO FAZENDO?

As autoridades e os fabricantes de antivírus estão trabalhando em parceira para identificar e punir estes desenvolvedores de malware e suas organizações criminosas em todo mundo. Já foram efetuadas prisões na Alemanha, Holanda, Reino Unido e Espanha. Empresas como BitDefender, Kaspesky, Panda, Sophos, Microsoft e Cisco estão engajadas na investigação. FBI e Interpol estão coordenando os esforços da força tarefa. Atualmente os ataques de ransomware estão sendo tratados como atos de terrorismo e são uma prioridade.

As organizações criminosas  por trás do ransomware são extremamente organizadas, contam com elementos altamente capacitados e excelentemente remunerados, além de uma infra-estrutura de arquitetura distribuída e sofisticada ocultada dentro da Darknet.

A mídia tem veiculado casos de ransomware e procurado conscientizar a população do perigo destas ameaças  e como reagir.

 

 

 

BOAS PRÁTICAS DE PROTEÇÃO CONTRA RANSOMWARE:

A proteção contra ransomware se dá em camadas. Você deve estabelecer diversos tipos de segurança em sua empresa a saber:

1. Manter os sistemas operacionais, navegadores e plugins atualizados: Manter os sistemas operacionais, navegadores e plugins atualizados, sobretudo o Adobe Flash, Adobe Reader e Silverlight. Isto corrige vulnerabilidades usadas por certas variantes de ransomware. Existem variantes que instalam ransomware a partir de sites usando uma aplicação Flash, Java ou Silverlight. Esta ação vale para todos os sistemas operacionais (Windows, Linux, MAC, Unix e dispositivos com IOS e Android).

Em redes Microsoft é altamente recomendada a implementação do WSUS. O servidor do WSUS fornece os recursos necessários aos administradores para gerenciar e distribuir atualizações por meio de um console de gerenciamento centralizado.

2. Mantenha seu antivírus atualizado e com todas as funcionalidades ativadas: Esteja atento a upgrades de versão e atualizações de vacina do seu antivírus, bem como as funcionalidades de detecção de ameaças, as quais devem estar todas ativadas.

O BitDefender GravityZone  possui inteligência artificial capaz de lidar com comportamentos suspeitos típicos de casos de ransomware e motores de detecção específicos para este tipo de ameaça chamado “Ransomware Vaccine”.

Esteja certo de que suas configurações de ativar os recursos Advanced Threat Control, Ransomware Vaccine, IDS, Antivírus Web e Antiphishing em seu BitDefender GravityZone. Desta forma você estará excelentemente bem protegido.

Recentemente foi lançada a função HyperDetect e Sandbox Analyzer, licenciadas separadamente, que oferecem proteção multicamada adicional para ameaças desconhecidas e ataques de dia zero. Se você não possui estas funcionalidades, entre em contato conosco para obtê-las.

3. Restrinja o acesso a seus compartilhamento: Evite que todos os usuários da empresa possam acessar todos os seus compartilhamentos livremente. Atribua permissões de acesso à eles. Se você tem muitos departamentos ou setores em sua empresa, separe seus compartilhamentos por setor ou departamento e restrinja o acesso aos funcionados que trabalham nele e diretores.

4. Implementar uma estratégia de disaster recovery ou backup: Este o meio de defesa mais recomendado e seguro. Você deve realizar imagens de disco ou backup de seus dados diariamente. Servidores, estações de trabalho críticas e dispositivos mobile de uso corporativo devem ser protegidos. Dependendo do volume de alteração de seus dados a frequência do backup poderá ser maior, podendo chegar até a proteção contínua de dados (CDP).

Oferecemos a nossos clientes a solução Acronis Backup Advanced 12.5 e Acronis Backup Cloud que possuem proteção nativa contra ransomware chamada Acronis Active Protection, a qual monitora, detecta e bloqueia comportamentos suspeitos e intrusivos, bem como tentativas de criptografia ou manipulação de seus backups, arquivos protegidos e agentes.

Importante: Se você estiver salvando em volumes de rede Microsoft ou NFS esteja atento as permissões do compartilhamento. Não forneça controle total para todos os usuários. Crie um usuário com poderes administrativos e forneça estas credenciais de acesso em seu software de backup.

5. Replicar backups: Você precisa estar atento a possibilidade de que o ransomware ataque seus backups. Logo, recomenda-se replicar seus backups para um segundo local seguro. Este segundo local poderá ser uma unidade de fita, armazenamento na nuvem, NAS ou SAN.

Oferecemos a nossos clientes a solução Acronis Backup Advanced e Acronis Backup Cloud que permitem que você replique seus backups para nuvem, garantido que eles estão a salvo de qualquer ameaça. Este modelo, combinado com a proteção do Acronis Active Protection torna-se a solução perfeita.

6. Exportações de bases de dados: Malwares do tipo ransomware podem encriptar seus arquivos de banco de dados. Neste contexto, é fundamental realizar exportações regulares de suas bases de dados. Estas exportações geram um arquivo contento toda estrutura do banco de dados e as informações contidas no mesmo.

7. Segurança de gateway de borda: Esta é uma camada de proteção importante e Indispensável. Usar um gateway de borda com firewall, proxy, antivírus integrado e capaz de analisar protocolos HTTP, HTTPS, FTP e P2P é uma linha de defesa muito importante. Bloquear todo tipo de tráfego nocivo e impróprio para o ambiente de trabalho é vital para proteção. Esteja certo de restringir o tráfego dos usuários de acordo com papel que eles desempenham na sua organização.

Oferecemos a nossos clientes a proteção de servidores Exchange do BitDefender GravityZone que conta com várias camadas de proteção e a solução Mailborder capaz de eliminar até 99% do spam e erradicar malware.

8. Segurança de e-mail: Um dos principais meios de distribuição de ransomware é o e-mail. Se sua empresa possui um servidor de correio é importante utilizar um bom antispam, antivírus, antiphishing, antispoof, controle de conteúdo e controle de anexo.

Oferecemos a nossos clientes as soluções de antispam, antiphishing e antimalware Mailborder para uma proteção extremamente eficaz e o BitDefender GravityZone for Exchange para servidores de correio Microsoft Exchange. Em complemento, oferecemos a solução de correio eletrônico e colaboração Axigen Mail Server, que possui 21 camadas de segurança e capacidade de trabalhar com múltiplos antispams e antivírus. Conta também com uma gigantesca variedade de filtros e controles de fluxo.

Estabeleça políticas de controle de anexos para extensões perigosas e eduque diariamente seu software de antispam.

9. Segurança de servidores de web: Se a sua empresa hospeda o próprio site e você possui formulários para envios de arquivo restrinja ao máximo quais os tipos de extensões podem ser enviadas. Se você possui um servidor FTP garanta que ele está protegido por uma solução de antivírus e restrinja o upload de extensões de arquivos perigosas tais como: .ZIP.EXE, .EXE, .JS, .VBS, .SCR, .PS1, .BAT, ZIP.EXE e outras.

10. Windows Explorer deve mostrar as extensões de arquivos: Você pode forçar o Windows Explorer a mostrar a extensão dos arquivos. Oriente seus funcionários a estarem atentos para extensões como: .ZIP.EXE, .EXE, .JS, .VBS, .SCR, .PS1, .BAT. ZIP.EXE e outras. Visite este artigo da Microsoft para saber quais são as extensões perigosas:

11. Segmentação de redes: Segmentar redes por departamento ou setor criando VLANs isoladas ajuda a evitar a propagação de infecções e oferece mais controle, proteção, privacidade e segurança. Isto também evita o acesso não autorizado de pessoas a arquivos e aplicações de negócio restrita a determinados departamentos de sua empresa.

12. Educar os usuários: Esta é a medida mais importante. Os usuários finais precisam aprender a identificar comportamentos suspeitos. Oriente-os a realizar as seguintes práticas:

  • Identificar se o remetente é confiável e conhecido.
  • Identificar e-mails com assuntos suspeitos de empresas que você não conheçe ou não tem relacionamento comercial.
  • Identificar e-mails com anexos tem uma extensão maliciosa ou não.
  • Identificar e-mails com links maliciosos.
  • Identificar e deletar mensagens contendo fraudes, phishing, malware ou spam.
  • Identificar mensagens suspeitas em mensageiros instantâneos (Whatsapp, Skype e outros).
  • Identificar mensagens e links maliciosos em redes sociais.
  • Identificar sites fraudulentos.
  • Evitar ao máximo acessos à drives na nuvem (Google Drive, Dropbox e outros).
  • Refletir e analizar antes de abrir ou clicar em links.
  • Navegar somente em locais seguros ou conhecidos.
  • Não usar ferramentas P2P na empresa.

13. Bloqueie dispositivos não confiáveis: Ransonware e outros malwares podem entrar em sua rede através de pendrives, smartphones, câmeras, mp3 e outros dispositivos. Bloqueie o uso destes dispositivos usando o controle de dispositivos do BitDefender GravityZone.

Em empresas que recebem visitas de fornecedores, colaboradores e parceiros que necessitam de conexão de internet, pode-se criar uma VLAN isolada especialmente para o atendimento de visitantes.

14. Bloqueie o autorun: É muito importante desativar a execução automática do Windows em máquinas onde você não está bloqueando dispositivos não confiáveis.

15. Desative o uso de macros no Microsoft Office: Documentos do Microsoft Word e Microsoft Excel estão sendo distribuidas com macros maliciosas que fazem o download de ransonware em background e o executam. Por este motivo é altamente recomendado a desativação do suporte a Macro no Microsoft Office.

16. Desative Windows Script Host: Se você não estiver usando scripts VBScript ou JScript considere desativar o recurso Windows Script Host. Consulte este artigo da Microsoft.

17. Habite políticas de restrição de software: Os administradores de sistema podem implementar uma GPO (Group Policy Objects) para bloquear a execução de softwares a partir de locais especificados. Você poderá criar políticas de restrição de software para bloquear a ação do Cryptowall, uma das variantes mais perigosas de ransomware.

18. Use senhas complexas: Senhas fáceis podem ser facilmente exploradas por malwares munidos de capacidades de ataque de força brutal.

Fechar Menu

Assine nossa newsletter

Assine nossa newsletter e fique por dentro das notícias no mundo da segurança da informação e de nossos produtos: