Questão
- Você deseja usar as práticas recomendadas para configurar seu sistema para se proteger contra malware de ransomware
- Práticas recomendadas gerais de anti-ransomware para aplicativos ESET
- Práticas gerais de anti-ransomware
- Recuperação de arquivos criptografados
Detalhes
Clique para expandir
O ransomware é um malware que pode bloquear um dispositivo ou criptografar seu conteúdo para extorquir dinheiro do proprietário em troca da restauração do acesso a esses recursos. Esse tipo de malware também pode incluir um cronômetro integrado com um prazo de pagamento que deve ser cumprido; caso contrário, o preço para desbloquear os dados e o hardware aumentará ou as informações e o dispositivo ficarão permanentemente inacessíveis.
Ransomware é uma infecção que criptografa arquivos pessoais e de dados. Normalmente, uma estação de trabalho é infectada e, em seguida, o ransomware tentará criptografar todas as unidades compartilhadas mapeadas. Isso pode fazer com que essa infecção pareça estar se espalhando pela sua rede, mas não está.
Embora seus arquivos possam estar criptografados, seu sistema pode não estar infectado. Isso é possível quando uma unidade compartilhada em um servidor de arquivos é criptografada, mas o servidor em si não contém a infecção por malware (a menos que seja um servidor de Terminal).
Outros exemplos de ransomware conhecidos são:
- Win32/Filecoder
- Filecoder.WannaCryptor
- Win32/Filecoder.TeslaCrypt.A (TeslaCrypt) ou infecção por "Win32/Filecoder.Locky.A" após a abertura de um e-mail de uma fonte desconhecida ou de arquivos ZIP desse e-mail
- "CryptoLocker", "Cryptowall", "Dirty decrypt" e "CTB locker"
- Win32/TrojanDownload.Elenoocka.A
- Win32/Gpcode
Solução
As versões atuais dos aplicativos da ESET utilizam várias camadas de tecnologias para proteger os computadores contra ransomware.
Exemplos dessas tecnologias incluem o Advanced Memory Scanner, o ESET LiveGrid® Reputation System e o Exploit Blocker.
Além disso, os aplicativos mais recentes da ESET fornecem um módulo aprimorado de Proteção de Botnet que bloqueia a comunicação entre o ransomware e os servidores de Comando e Controle (C&C).
Práticas recomendadas gerais do aplicativo ESET contra ransomware
- Habilite a detecção de PUA (Aplicativos potencialmente indesejados)
Siga as instruções no artigo vinculado para detectar aplicativos indesejados, inseguros e suspeitos, como ferramentas RMM (monitoramento e gerenciamento remoto), drivers vulneráveis, scanners de rede e outros softwares que podem representar um risco de segurança para o seu sistema. Embora essas ferramentas possam ser confiáveis, assinadas e legítimas, até mesmo utilitários de sistema incorporados, elas são amplamente utilizadas por invasores durante invasões de ransomware. Mais informações sobre aplicativos potencialmente indesejados e conteúdo potencialmente indesejado.
-
Mantenha o Advanced Memory Scanner e o Exploit Blocker ativados
Esses algoritmos recém-projetados da ESET reforçam a proteção contra malware que foi projetado para evitar a detecção por produtos antimalware através do uso de ofuscação e/ou criptografia.
O Verificador Avançado de Memória procura por comportamentos suspeitos depois que o malware se revela na memória, e o Bloqueador de Exploração fortalece a proteção contra ataques direcionados e vulnerabilidades não vistas anteriormente, também conhecidas como vulnerabilidades de dia zero.
Para obter a máxima proteção, recomendamos que você atualize seus aplicativos ESET para a versão mais recente:
-
Mantenha o ESET LiveGrid® ativado
O Sistema de Proteção contra Malware da ESET Cloud está baseado no ESET LiveGrid®. Ele monitora os aplicativos desconhecidos e potencialmente maliciosos e submete as amostras ao sandboxing automático e à análise comportamental.
Certifique-se de que A reputação do ESET LiveGrid® e o sistema de feedback do ESET LiveGrid® estejam ativados e funcionando em seu produto ESET.
-
Mantenha o ESET atualizado
Novas variantes de ransomware existentes são lançadas com frequência, por isso é importante que você receba atualizações regulares do banco de dados de vírus (seu aplicativo ESET verificará se há atualizações a cada hora, desde que você tenha uma assinatura válida e uma conexão de Internet em funcionamento).
-
Usuários de máquinas virtuais
Para obter a melhor proteção contra malware de ransomware, recomendamos o uso do ESET Endpoint Security para Windows em ambientes virtuais.
-
Certifique-se de ter o Escudo contra Ransomware ativado
O Módulo Ransomware, como parte de uma tecnologia de autodefesa, é outra camada de proteção que funciona como parte do recurso HIPS. Para obter mais informações, consulte Proteção contra ransomware no Glossário ESET e como configurá-la nos aplicativos ESET.
-
Defina configurações adicionais para proteger contra ransomware nos produtos empresariais da ESET manualmente ou usando o ESET PROTECT On-Prem/ESET PROTECT Policy
-
Notificações
Minimize seu risco de malware baseado em criptografia (ransomware)
-
Mantenha backups de seu sistema
Planeje fazer backup de seu sistema regularmente e mantenha pelo menos um backup em armazenamento off-line para proteger seu trabalho mais recente de um ataque.
-
Permissões de usuário e restrição de direitos
Há muitos tipos de restrições, como a restrição de acesso a dados de aplicativos e até mesmo algumas que são pré-construídas como um objeto de política de grupo (GPO).
- Desative os arquivos executados a partir das pastas AppData e LocalAppData.
- Bloquear a execução a partir do subdiretório Temp (parte da árvore AppData por padrão).
- Bloquear arquivos executáveis executados a partir dos diretórios de trabalho de vários utilitários de descompactação (por exemplo, WinZip ou 7-Zip).
- Além disso, no ESET Endpoint Security para Windows, ESET Mail Security para Microsoft Exchange Server e ESET Server Security para Microsoft Windows Server, é possível criar regras de HIPS para permitir que apenas determinados aplicativos sejam executados no computador e bloquear todos os outros por padrão: Crie uma regra HIPS e a imponha em uma estação de trabalho cliente utilizando o ESET PROTECT On-Prem.
-
Não desative o Controle de Conta de Usuário (UAC)
Não abra anexos que aleguem ser um fax, fatura ou recibo se eles tiverem um nome suspeito ou se você não esperava recebê-los.
-
Use a autenticação de dois fatores (2FA)
Recomendamos o ESET Secure Authentication, que pode ser usado como um componente na nuvem ou no local. Para obter mais informações, visite a Ajuda on-line da ESET .
-
Defesa contra ameaças
Recomendamos o ESET LiveGuard Advanced.
-
Desativar macros (VBA) no Microsoft Office via Política de Grupo
Microsoft Office 2019 e versões anteriores: Planejar configurações de segurança para macros VBA para o Office
O Microsoft Office 365 usa o Office Cloud Policy Service (OCPS) para aplicar políticas que bloqueiam a execução de macros em arquivos do Office a partir da Internet.
-
Mantenha seu sistema atualizado
Para garantir que você tenha a melhor proteção disponível, mantenha seu sistema operacional e seus aplicativos atualizados. Instale as atualizações mais recentes de alta prioridade oferecidas na ferramenta Windows Update e verifique regularmente ou ative o recurso Atualizações automáticas. As novas atualizações de segurança corrigem as vulnerabilidades do sistema e reduzem o risco de ataques de malware.
-
Portas/serviços em potencial que podem ser explorados se deixados abertos
Para evitar que endereços IP desconhecidos realizem ataques bem-sucedidos de força bruta, é altamente recomendável bloquear o SMB, o SQL e o RDP.
Serviços Recomendações SMB Feche as portas de compartilhamento de arquivos 135-139 e 445. As portas SMB não devem ser expostas à Internet. SQL Coloque na lista branca os endereços IP confiáveis que têm permissão para se conectar ao SQL. RDP Impeça ataques externos de força bruta ao RDP fechando o RDP para conexões externas. Use uma VPN com autenticação de dois fatores para se conectar à rede interna.Defina bloqueios automáticos de contas após um número específico de tentativas fracassadas, com um período de espera antes do desbloqueio.Imponha senhas fortes.Desative contas não utilizadas ou padrão (administrador, admin, root).Coloque usuários e grupos específicos na lista de permissões para login no RDP.Coloque na lista branca endereços IP específicos para permitir a conexão RDP. -
Práticas recomendadas do Remote Desktop Protocol contra ataques
O malware baseado em criptografia geralmente acessa as máquinas-alvo por meio do Remote Desktop Protocol (RDP) incorporado ao Windows. O RDP permite que outras pessoas se conectem ao seu sistema remotamente, de modo que o invasor pode usar indevidamente o RDP para remover a proteção e, em seguida, implantar o malware.
Recomendamos que você desative ou altere o Protocolo de Área de Trabalho Remota. Se você não precisar usar o RDP, poderá alterar a porta padrão (3389) ou desativar o RDP para proteger seu computador contra ransomware e outras explorações de RDP. Para obter instruções sobre como desativar o RDP, visite o artigo apropriado da Microsoft Knowledgebase abaixo:
Para obter mais informações sobre o RDP, consulte o seguinte artigo do WeLiveSecurity: Protegendo o RDP e o acesso remoto.
-
Proteja suas configurações do aplicativo ESET com senha
Se você for um usuário corporativo, recomendamos o uso de uma senha para proteger o aplicativo ESET contra alterações não autorizadas por um invasor. Isso evita a modificação não autenticada das configurações, a desativação da proteção ou até mesmo a desinstalação do produto ESET. Se estiver usando o RDP, recomendamos o uso de uma senha diferente da usada para as credenciais de login do RDP.
Para obter mais informações, consulte como proteger seu aplicativo ESET com uma senha.
Os arquivos criptografados podem ser recuperados?
O ransomware moderno criptografa os dados usando criptografia assimétrica e vários algoritmos de criptografia. Em resumo, os arquivos são criptografados com uma chave pública e não podem ser descriptografados sem a chave privada associada. Com o ransomware atual, a chave privada nunca está localizada na estação de trabalho ou no ambiente afetado. Isso significa que os dados precisarão ser restaurados a partir de um bom backup feito antes da infecção.
Se não houver backups disponíveis, você poderá tentar recuperar os arquivos das cópias de sombra. Faça o download do Shadow Explorer.
No entanto, não é incomum que infecções por ransomware excluam Shadow Copies para impedir a recuperação de arquivos.
Que medidas você deve tomar se for infectado por ransomware?
-
Desconecte o computador da rede.
-
Localize o arquivo TXT ou HTML com as instruções de pagamento, por exemplo, "How to decrypt" (Como descriptografar) pastas/drives compartilhados criptografados. Os pesquisadores de malware podem usá-lo para análise posterior.
-
Entre em contato com seu parceiro local da ESET para obter suporte.
