O Ransomware é um tipo de malware que os criminosos utilizam para criptografar os arquivos presentes em um computador ou smartphone, demandando um resgate em dinheiro para que eles fiquem disponíveis novamente. Existem diversas formas como um malware desse tipo consegue se instalar em uma máquina, mas, como de costume, eles acabam fazendo uso da engenharia social ou vulnerabilidades de softwares. Hoje em dia, todas as estratégia de segurança precisam levar em consideração a prevenção contra o ransomware. Recentemente, temos ainda o agravante trazido pelas informações de exploits roubadas da NSA pelo grupo ShadowBrokers.

Em geral, o ransomware solicita o pagamento do resgate via bitcoin, o que impossibilita o rastreamento do receptor.

Como fazer a prevenção contra ransomware?

Por um lado, o ransomware pode dar bastante medo, os arquivos encriptados pelo malware podem chegar a serem considerados perdidos. Mas, se você está preparado para lidar com essa situação, no pior dos casos o ransomware será apenas um incômodo. Aqui estão algumas dicas para que você não deixe o ransomware destruir a sua empresa:

1 – Faça Backup dos dados

A ação que será mais efetiva para frustrar o ransomware é contar com um backup regularmente atualizado. Se a empresa for atacada por um ransomware, pode ser que alguns projetos recém iniciados se percam, mas se você conseguir restaurar o sistema para um backup recente, os projetos mais importantes e antigos estarão salvos, tornando o ransomware apenas um incômodo, e não um incidente grave. Lembre-se que alguns tipos de ransomware também conseguem bloquear arquivos em drives externos, como pendrives, de forma que também é importante ter o backup dos arquivos armazenados dessa forma.

É importante que o backup não seja feito somente para a nuvem, uma vez que o ransomware pode criptografar os arquivos nela. Após a realização do backup em sua máquina, desconecte o drive de backup externo, limitando assim o acesso que o malware pode ter a seus dados. Por fim, além de atualizado, o backup precisa estar isolado da rede, de nada adianta um backup se ele também for criptografado pelo malware. Essa é talvez a medida mais importante de prevenção contra ransomware.

2 – Mostre as extensões de arquivo escondidas

Uma forma bem comum pela qual os malwares de ransomware chegam nas máquinas é através de arquivos nomeados com extensões “.PDF” e “.EXE”, contando com o comportamento padrão do windows de esconder as extensões de arquivos conhecidas. Se você reabilitar a habilidade de ver toda a extensão de arquivo, é bem mais fácil de se observar arquivos suspeitos e alcançar uma prevenção contra ransomware.

3 – Filtre “.EXE” no email

Se o seu gateway de email possui a habilidade de filtrar arquivos pela extensão, você deve bloquear as extensões “.EXE”, assim como bloquear emails com arquivos com mais de duas extensões, sendo uma delas a “.EXE”. Se você realmente possui a necessidade de trocar arquivos dessa natureza, você pode fazer por meio de arquivos comprimidos (ZIP), protegidos por senha, ou por serviços na nuvem.

4 – Desabilite arquivos que rodem a partir das pastas AppData/LocalApp Data

Você pode criar regras no Windows, ou a partir de um IPS, para bloquear um comportamento encontrado em malwares de ransomware, que é se executar a partir das pastas AppData ou LocalAppData. Se por algum motivo você possui software legítimo que não se executa por padrão da pasta Arquivos de Programas, e sim da AppData, você pode excluir esse software específico da regra.

5 – Desabilite o RDP

O malware Cryptolocker/Filecoder (um tipo de ransomware), em geral possui como alvo máquinas que utilizam o Remote Desktop Protocol (RDP), uma funcionalidade do Windows que permite o acesso remoto. Se você não precisa de utilizar o RDP, você pode desabilitar essa função e proteger a máquina do Filecoder e outros exploits conhecidos de RDP.

6 – Realize as atualizações de seus softwares

Os criminosos frequentemente se baseiam em máquinas que possuem softwares legados, com vulnerabilidades conhecidas, as quais eles podem explorar para de forma silenciosa ganhar acesso à máquina. Essa questão se torna ainda mais crucial depois dos vazamentos do ShadowBrokers, os exploits desenvolvidos pela NSA são poderosos e podem causar estragos caso os patches de correção não sejam devidamente aplicados a tempo. A probabilidade de ser atacado por ransomware cai consideravelmente  se você possui como prática a gestão de patches e updates. Você pode ver mais sobre gestão de patches no artigo de nosso Coordenador de Operações, Erick Lemos.

7 – Use uma suíte de proteção baseada em reputação

Os criminosos sempre tentam ataques com novas variantes de malwares, para conseguir evitar a detecção. Contar com uma suíte de proteção baseada em reputação auxilia a observar o comportamento e evitar que eles atinjam o objetivo de infectar as máquinas.

8 – Utilize o “Restaurar Sistema” para retornar a um estágio pré-ransomware

Se a função Restaurar Sistema está habilitada no Windows, pode ser possível retornar o sistema para um estágio pré-ransomware. Contudo, novas versões de malwares de ransomware possuem a habilidade de deletar os arquivos necessários para que o sistema seja restaurado.

9 – Atrase o relógio da BIOS

Em geral, o ransomware coloca um tempo de pagamento de 72 horas, que, se transcorrido, o preço do resgate cresce significativamente. Você pode ganhar uma vantagem sobre esse tempo, ajustando o tempo do relógio da BIOS para um período anterior a essas 72 horas. Isso serve para quando você pensar em pagar o resgate. Contudo, nós não recomendamos o pagamento em nenhuma hipótese. Caso se torne vítima de um ataque, entre em contato rapidamente com um especialista em segurança.

 

Update: Medidas de prevenção contra ransomware WannaCry

Recomendamos que as ações abaixo sejam efetuadas o mais rapidamente possível para prevenção contra ransomware WannaCry:

No perímetro de sua rede:

  • Bloquear o uso e download da aplicação TOR no APP Control para todo ambiente;
  • Garantir que as funções de antimalware estejam habilitadas e atualizadas no Firewall, UTM ou NextGenFW;
  • Bloquear o download de arquivos executáveis no Filtro Web (Certifique-se que o HTTPs está sendo inspecionado);
  • Bloquear anexos de arquivos executáveis no Filtro de Email;
  • Garantir que o Filtro Web e Filtro de Email estejam com a vacina atualizada;
  • Bloqueio de urls e endereços IP no Filtro Web que estão relacionadas ao ransomware (171.25.193.9 | 95.130.11.147 | 82.223.21.74 | 51.15.48.254 | 91.121.230.218 | 62.210.125.130);
  • Habilitar as regras no Network IPS para proteção da vulnerabilidade CVE -2017-0143;
  • Garantir que as regras de firewall não permitam o redirecionamento de tráfego na porta 445 para redes protegidas;

Nas estações e servidores:

  • Garantir que todos os computadores estão com o antimalware instalado e atualizado com a vacina hoje;
  • Aplicar os patches de atualização relacionados à vulnerabilidade MS17-010;
  • Garantir que o backup esteja atualizado e isolado do restante da rede;
  • Habilitar regras de Host IPS para o CVE -2017-0143;
  • Bloqueio de gravação de arquivos de extensão *.Wcry nas estações e servidores.

 

Mais informações

Sempre falamos aqui no blog sobre prevenção contra ransomware, você pode conferir os outros posts aqui:

https://realprotect.net/?s=ransomware

Você pode falar agora mesmo com um Consultor de Segurança da Real Protect aqui.