Ransomware é um malware que pode bloquear um dispositivo ou criptografar seu conteúdo para extorquir dinheiro do proprietário em troca de restaurar o acesso a esses recursos. Este tipo de malware também pode ter um timer embutido com um prazo para pagamento que deve ser cumprido, caso contrário o preço para desbloquear os dados e o hardware aumentam ou a informação e o dispositivo ficarão permanentemente inacessíveis.
Filecoders/Ransomware são infecções que criptografam dados e arquivos pessoais. Tipicamente, uma estação de trabalho é infectada e então o Filecoder/Ransomware tenta criptografar qualquer drive compartilhado mapeado. Isso pode fazer com que a infecção pareça estar se espalhando pela rede quando na verdade não está.
Enquanto seus arquivos possam ser criptografados, seu sistema pode não ser infectado. Isso é possível quando um drive compartilhado em um servidor de arquivo é criptografado, mas o servidor em si não contém a infecção por malware (a menos que seja um servidor de Terminal).
Outras ameaças de filecoder também são conhecidas como :
As versões atuais dos produtos ESET usam múltiplas camadas de tecnologia para proteger os computadores contra ransomware.
Exemplos destas tecnologias incluem Escaneador de Memória Avançado, Sistema de Reputação do ESET LiveGrid® e Bloqueador de Exploit.
Adicionalmente, os produtos mais recentes da ESET fornecem um módulo aprimorado de Proteção contra Botnet que bloqueia a comunicação entre o ransomware e os servidores Comando e Controle (C&C).
Melhores práticas gerais do produto anti-ransomware ESET | Práticas anti-ransomware gerais | Recuperando arquivos criptografados | Serviços de Suporte ESET
Estas duas funcionalidades estão habilitadas por padrão nas versões 5 e posteriores dos produtos ESET. Estes algoritmos recentemente desenhados da ESET fortalecem a proteção contra o malware que foi desenhado para burlar a detecção por produtos anti-malware através do uso de ofuscação e/ou criptografia.
O Escaneador Avançado de Memória busca comportamentos suspeitos após o malware se lançar na memória e o Bloqueador de Exploit fortalece a proteção contra ataques e vulnerabilidades previamente desconhecidas, como as conhecidas como vulnerabilidades zero-day (dia zero).
Recomendamos que você atualize para a versão mais recente se voce estiver rodando o ESET Smart Security ou o ESET NOD32 Antivirus (incluindo as edições corporativas) versão 4.x ou anteriores:
Usuários domésticos: Qual produto ESET eu tenho e é a versão mais recente? (Usuários domésticos)
Usuários corporativos: Tenho a versão mais recente dos produtos corporativos ESET?
O Sistema de Proteção contra Malware na Nuvem ESET é baseado no ESET LiveGrid. Ele monitora aplicativos potencialmente maliciosos e desconhecidos e envia amostras para o sandbox automático e para análise de comportamento.
Assegure-se de que o ESET LiveGrid esteja habilitado e funcionando em seu produto ESET.
Usuários domésticos: Como eu sei se o ESET Smart Security/ESET NOD32 Antivirus está atualizado corretamente?
Usuários corporativos: Como eu sei se meu produto corporativo ESET está atualizado corretamente?
Não abra anexos que dizem ser fax, fatura ou recibo se eles tiverem um nome suspeito ou você não estiver esperando recebê-los.
O que eu posso fazer para minimizar o risco de ataque de malware?
Para assegurar que você tenha a melhor proteção disponível, mantenha seus sistemas operacionais e aplicativos atualizados. Instale as últimas atualizações com maior prioridade oferecidas na ferramenta de atualização do Windows e cheque regularmente ou habilite a funcionalidade de atualizações automáticas. Novas atualizações de segurança protegem o sistema contra vulnerabilidades e reduzem o risco de ataque de malware.
A Microsoft lançou patches para o sistema operacional Windows atual, bem como para o Windows XP para mitigar uma vulnerabilidade crítica. Veja Microsoft Security Bulletin MS17-010 - Crítico para instruções sobre como aplicar essas atualizações.
O malware baseado em criptografia frequentemente acessa máquinas-alvo usando a ferramente de Protocolo de Desktop Remoto (RDP) integrada no Windows. O RDP permite que outros se conectem em seu sistema remotamente, de modo que o atacante possa usar de uma maneira não apropriada o RDP para remover a proteção e então instalar o malware.
a) Desabilitar ou mudar o Protocolo de Desktop Remoto
Se você não precisa usar o RDP, você pode mudar a porta padrão (3389) ou desabilitar o RDP para proteger sua máquina do Filecoder e outros exploits de RDP. Para instruções sobre como desabilitar o RDP, veja o artigo apropriado abaixo da Base de Conhecimento da Microsoft:
Para mais informações sobre RDP, veja o seguinte arquivo do We Live Security: Ataques que se aproveitam do RDP: eu possp ver seu desktop!
b) Proteção por senha das configurações de produto ESET
Se você precisar manter o RDP rodando e não puder desabilitá-lo ou mudar as configurações de RDP, você pode usar uma senha para proteger o produto ESET de ser alterado por um hacker. Isso previne a modificação de configurações não autenticadas, a desailitação da proteção e até mesmo a desinstalação do produto ESET. Recomendamos o uso de uma senha diferente da usada para as credenciais de login do RDP.
A proteção contra ransomware como parte da tecnologia de auto-defesa é uma outra camada de proteção que funciona como parte da funcionalidade de HIPS. O ESET LiveGrid deve estar habilitado para a proteção contra ransomware para funcionar adequadamente. Para mais informações, veja O que há de novo na versão 10 dos produtos domésticos da ESET — proteção contra ransomware.
Os Filecoders/ransomware modernos criptografam os dados usando métodos assimétricos e múltiplos tipos de cifras de criptografia. Em resumo, os arquivos são criptografados com uma chave pública e não podem ser descriptografados sem a chave particular associada. Com o ransomware atual, a chave particular não é localizada nunca na estação de trabalho ou no ambiente afetado. Isso significa que os dados precisarão ser restaurados a partir de um bom backup feito antes da infecção.
Se nenhum backup estiver disponível, você pode tentar recuperar os arquivos no Shadow Copies. Você pode usar o Shadow Explorer, que pode ser baixado a partir da seguinte página: http://www.shadowexplorer.com/downloads.html
Contudo, não é incomum que as infecções por ransomware deletem o Shadow Copies para impedir a recuperação dos arquivos.
Quais passos devo tomar caso seja infectado por ransomware?