O Ransomware é um software malicioso que os criminosos utilizam para travar computadores ou arquivos, demandando um resgate em dinheiro para que eles fiquem disponíveis novamente. Infelizmente, essa modalidade de golpe esta se tornando cada vez mais comum e fácil de se fazer. Existem diversas formas como um malware desse tipo consegue se instalar em uma máquina, mas, como de costume, eles acabam fazendo uso da engenharia social ou vulnerabilidades de softwares.

Um agravante do ransomware é que o pagamento do resgate é geralmente feito via bitcoin, o que impossibilita o rastreamento do receptor.

O que você pode fazer a respeito?

Por um lado, o ransomware pode dar bastante medo, os arquivos encriptados pelo malware podem chegar a um ponto de serem considerados perdidos. Mas, se você está preparado para lidar com essa situação, no pior dos casos o ransomware será apenas um incômodo. Aqui estão algumas dicas para que você não deixe o ransomware destruir a sua empresa:

1 – Faça Backup dos dados

A ação que será mais efetiva para frustrar o ransomware é contar com um backup regularmente atualizado. Se a empresa for atacada por um ransomware, pode ser que alguns projetos recém iniciados se percam, mas se você conseguir restaurar o sistema para um backup recente, os projetos mais importantes e antigos estarão salvos, tornando o ransomware apenas um incômodo, e não um incidente grave. Lembre-se que alguns tipos de ransomware também conseguem bloquear arquivos em drives externos, como pendrives, de forma que também é importante ter o backup dos arquivos armazenados dessa forma.

É importante que o backup não seja feito somente para a nuvem, uma vez que o ransomware pode criptografar os arquivos nela. Após a realização do backup em sua máquina, desconecte o drive de backup externo, limitando assim o acesso que o malware pode ter a seus dados.

2 – Mostre as extensões de arquivo escondidas

Uma forma bem comum pela qual os malwares de ransomware chegam nas máquinas é através de arquivos nomeados com extensões “.PDF” e “.EXE”, contando com o comportamento padrão do windows de esconder as extensões de arquivos conhecidas. Se você reabilitar a habilidade de ver toda a extensão de arquivo, é bem mais fácil de se observar arquivos suspeitos.

3 – Filtre “.EXE” no email

Se o seu gateway de email possui a habilidade de filtrar arquivos pela extensão, você deve bloquear as extensões “.EXE”, assim como bloquear emails com arquivos com mais de duas extensões, sendo uma delas a “.EXE”. Se você realmente possui a necessidade de trocar arquivos dessa natureza, você pode fazer por meio de arquivos comprimidos (ZIP), protegidos por senha, ou por serviços na nuvem.

4 – Desabilite arquivos que rodem a partir das pastas AppData/LocalApp Data

Você pode criar regras no Windows, ou a partir de um IPS, para bloquear um comportamento encontrado em malwares de ransomware, que é se executar a partir das pastas AppData ou LocalAppData. Se por algum motivo você possui software legítimo que não se executa por padrão da pasta Arquivos de Programas, e sim da AppData, você pode excluir esse software específico da regra.

5 – Desabilite o RDP

O malware Cryptolocker/Filecoder (um tipo de ransomware), em geral possui como alvo máquias que utilizam o Remote Desktop Protocol (RDP), uma funcionalidade do Windows que permite o acesso remoto. Se você não precisa de utilizar o RDP, você pode desabilitar essa função e proteger a máquina do Filecoder e outros exploits conhecidos de RDP.

6 – Realize as atualizações de seus softwares

Os criminosos frequentemente se baseiam em máquinas que possuem softwares legados, com vulnerabilidades conhecidas, as quais eles podem explorar para de forma silenciosa ganhar acesso à máquina. A probabilidade de ser atacado por ransomware cai consideravelmente  se você possui como prática a gestão de patches e updates. Você pode ver mais sobre gestão de patches no artigo de nosso Coordenador de Operações, Erick Lemos.

7 – Use uma suíte de proteção baseada em reputação

Os criminosos sempre tentam ataques com novas variantes de malwares, para conseguir evitar a detecção. Contar com uma suíte de proteção baseada em reputação auxilia a observar o comportamento e evitar que eles atinjam o objetivo de infectar as máquinas.

8 – Utilize o “Restaurar Sistema” para retornar a um estágio pré-ransomware

Se a função Restaurar Sistema está habilitada no Windows, pode ser possível retornar o sistema para um estágio pré-ransomware. Contudo, novas versões de malwares de ransomware possuem a habilidade de deletar os arquivos necessários para que o sistema seja restaurado.

9 – Atrase o relógio da BIOS

Em geral, o ransomware coloca um tempo de pagamento de 72 horas, que, se transcorrido, o preço do resgate cresce significativamente. Você pode ganhar uma vantagem sobre esse tempo, ajustando o tempo do relógio da BIOS para um período anterior a essas 72 horas. Isso serve para quando você pensar em pagar o resgate. Contudo, nós não recomendamos o pagamento em nenhuma hipótese. Caso se torne vítima de um ataque, entre em contato rapidamente com um especialista em segurança.

Mais informações

Sempre falamos aqui no blog sobre o ransomware, você pode conferir os outros posts aqui: 

https://realprotect.net/?s=ransomware

É importante ressaltar que a onda recente de ataques de ransomware gerou uma ampla cobertura da mídia, muito porque são claramente ataques que possuem motivação financeira e atrapalham as operações diárias das empresas. O ransomware é certamente uma ameaça que gera diversos problemas, contudo, existem uma série de outras ameaças que não estão sendo tão divulgadas que podem gerar tanto ou mais problemas.

Você pode falar agora mesmo com um Consultor de Segurança da Real Protect aqui.