Questão
- Você deseja usar as práticas recomendadas para configurar seu sistema para se proteger contra malware de ransomware
- Práticas recomendadas gerais anti-ransomware para produtos ESET
- Práticas gerais de anti-ransomware
- Recuperação de arquivos criptografados
Detalhes
Clique para expandir
O ransomware é um malware que pode bloquear um dispositivo ou criptografar seu conteúdo para extorquir dinheiro do proprietário em troca da restauração do acesso a esses recursos. Esse tipo de malware também pode ter um cronômetro embutido com um prazo de pagamento que deve ser cumprido; caso contrário, o preço para desbloquear os dados e o hardware aumentará - ou as informações e o dispositivo ficarão permanentemente inacessíveis.
Ransomware são infecções que criptografam arquivos pessoais e de dados. Normalmente, uma estação de trabalho é infectada e, em seguida, o ransomware tentará criptografar todas as unidades compartilhadas mapeadas. Isso pode fazer com que essa infecção pareça estar se espalhando pela sua rede, mas não está.
Embora seus arquivos possam estar criptografados, seu sistema pode não estar infectado. Isso é possível quando uma unidade compartilhada em um servidor de arquivos é criptografada, mas o servidor em si não contém a infecção por malware (a menos que seja um servidor de Terminal).
Outros exemplos de ransomware conhecidos são:
- Win32/Filecoder
- Filecoder.WannaCryptor
- Win32/Filecoder.TeslaCrypt.A (TeslaCrypt) ou infecção pelo Win32/Filecoder.Locky.A após a abertura de um e-mail de uma fonte desconhecida ou de arquivos ZIP desse e-mail
- "CryptoLocker", "Cryptowall", "Dirty decrypt" e "CTB locker"
- Win32/TrojanDownload.Elenoocka.A
- Win32/Gpcode
Solução
As versões atuais dos produtos ESET utilizam várias camadas de tecnologias para proteger os computadores contra ransomware.
Exemplos dessas tecnologias incluem o Advanced Memory Scanner, o ESET LiveGrid® Reputation System e o Exploit Blocker.
Além disso, os produtos mais recentes da ESET fornecem um módulo de Proteção de Botnet aprimorado que bloqueia a comunicação entre o ransomware e os servidores de Comando e Controle (C&C).
Práticas recomendadas gerais de produtos ESET contra ransomware
-
Mantenha o Advanced Memory Scanner e o Exploit Blocker ativados
Esses dois recursos são ativados por padrão nos produtos ESET versão 5 e posteriores. Esses algoritmos recém-projetados da ESET reforçam a proteção contra malware que foi projetado para evitar a detecção por produtos antimalware através do uso de ofuscação e/ou criptografia.
O Advanced Memory Scanner procura por comportamentos suspeitos depois que o malware se revela na memória, e o Exploit Blocker fortalece a proteção contra ataques direcionados e vulnerabilidades não vistas anteriormente, também conhecidas como vulnerabilidades de dia zero.
Para obter a máxima proteção, recomendamos que você atualize seus produtos ESET para a versão mais recente:
-
usuários domésticos: Qual produto ESET eu tenho e é a versão mais recente? (Usuários domésticos) -
usuários empresariais: Tenho a versão mais recente dos produtos empresariais da ESET?
-
-
Mantenha o ESET LiveGrid ativado
O Sistema de Proteção contra Malware da ESET Cloud está baseado no ESET LiveGrid. Ele monitora os aplicativos desconhecidos e potencialmente maliciosos e submete as amostras ao sandboxing automático e à análise comportamental.
Certifique-se de que A reputação do ESET LiveGrid® e o sistema de feedback do ESET LiveGrid® estejam ativados e funcionando em seu produto ESET.
-
Mantenha o ESET atualizado
Novas variantes de ransomware existentes são lançadas com frequência, por isso é importante que você esteja recebendo atualizações regulares do banco de dados de vírus (seu produto ESET verificará se há atualizações a cada hora, desde que você tenha uma licença válida e uma conexão com a Internet em funcionamento).
-
Usuários de máquinas virtuais
Para obter a melhor proteção contra malware de ransomware, recomendamos o uso do ESET Endpoint Security em ambientes virtuais.
-
Certifique-se de ter o Escudo contra Ransomware ativado
O Módulo Ransomware como parte de uma tecnologia de Autodefesa é outra camada de proteção que funciona como parte do recurso HIPS. Para obter mais informações, consulte Módulo Ransomware no Glossário ESET e como configurá-lo nos produtos ESET.
-
Defina configurações adicionais para proteger contra ransomware nos produtos empresariais da ESET manualmente ou usando o ESET PROTECT On-Prem/ESET PROTECT Policy
-
Notificações
Práticas recomendadas gerais anti-ransomware - Minimize seu risco de malware baseado em criptografia (ransomware)
-
Mantenha backups de seu sistema
Planeje fazer backups do seu sistema regularmente e mantenha pelo menos um desses backups em armazenamento off-line para proteger seu trabalho mais recente de um ataque.
-
Permissões de usuário e restrição de direitos
Há muitos tipos de restrições, como a restrição de acesso a dados de aplicativos e até mesmo algumas que são pré-construídas como um objeto de política de grupo (GPO).
-
Desative os arquivos executados a partir das pastas AppData e LocalAppData.
-
Bloquear a execução a partir do subdiretório Temp (parte da árvore AppData por padrão).
-
Bloquear arquivos executáveis executados a partir dos diretórios de trabalho de vários utilitários de descompactação (por exemplo, WinZip ou 7-Zip).
Adicionalmente, no ESET Endpoint Security/Antivirus, ESET Mail Security e ESET File Security, é possível criar regras HIPS para permitir que somente determinados aplicativos sejam executados no computador e bloquear todos os outros por padrão: Crie uma regra HIPS e a imponha em uma estação de trabalho cliente utilizando o ESET PROTECT On-Prem.
-
-
Não desative o Controle de Conta de Usuário (UAC)
Não abra anexos que aleguem ser um fax, fatura ou recibo se eles tiverem um nome suspeito ou se você não esperava recebê-los.
O que posso fazer para minimizar o risco de um ataque de malware?
-
Use a autenticação de dois fatores (2FA)
Recomendamos o ESET Secure Authentication.
-
Defesa contra ameaças
Recomendamos o ESET LiveGuard Advanced.
-
Desative as macros no Microsoft Office por meio da Política de Grupo
Office 2013/2016 (o link a seguir é para 2013, mas as configurações são as mesmas para 2016): Planejar configurações de segurança para macros VBA para o Office
-
Mantenha seu sistema atualizado
Para garantir que você tenha a melhor proteção disponível, mantenha seu sistema operacional e seus aplicativos atualizados. Instale as atualizações mais recentes de alta prioridade oferecidas na ferramenta Windows Update e verifique regularmente ou ative o recurso Atualizações automáticas. As novas atualizações de segurança corrigem as vulnerabilidades do sistema e reduzem o risco de ataques de malware.
-
Portas/serviços em potencial que podem ser explorados se deixados abertos
Para evitar que um endereço IP desconhecido realize ataques bem-sucedidos de força bruta, recomendamos enfaticamente o bloqueio de SMB, SQL e RDP.
-
SMB
Feche as portas de compartilhamento de arquivos 135-139 e 445. As portas SMB não devem ser expostas à Internet.
-
SQL
Coloque na lista branca os endereços IP confiáveis que têm permissão para se conectar ao SQL
-
RDP
-
Impeça ataques externos de força bruta ao RDP fechando o RDP para conexões externas. Use uma VPN com autenticação de dois fatores para se conectar à rede interna.
-
Defina bloqueios automáticos de contas após um determinado número de tentativas fracassadas. Inclua um período de espera para o desbloqueio automático depois que uma conta for bloqueada.
-
Imponha senhas fortes
-
Desative contas padrão e não utilizadas comuns, por exemplo, administrador, admin ou root
-
Coloque usuários e grupos específicos na lista de permissões para permitir o login usando RDP
-
Coloque na lista branca endereços IP específicos para permitir uma conexão RDP
-
-
-
Práticas recomendadas do Remote Desktop Protocol contra ataques
Os malwares baseados em criptografia geralmente acessam as máquinas-alvo usando a ferramenta Remote Desktop Protocol (RDP) integrada ao Windows. O RDP permite que outras pessoas se conectem ao seu sistema remotamente, de modo que o invasor pode usar indevidamente o RDP para remover a proteção e, em seguida, implantar o malware.
Recomendamos que você desative ou altere o Remote Desktop Protocol. Se você não precisar usar o RDP, poderá alterar a porta padrão (3389) ou desativar o RDP para proteger seu computador contra ransomware e outras explorações de RDP. Para obter instruções sobre como desativar o RDP, visite o artigo apropriado da Base de Dados de Conhecimento da Microsoft abaixo:
Para obter mais informações sobre o RDP, consulte o seguinte artigo do WeLiveSecurity: Hacking de Área de Trabalho Remota (RDP) 101: Eu posso ver sua área de trabalho daqui!
-
Proteja suas configurações de produto ESET com senha
Se você é um usuário corporativo, recomendamos o uso de uma senha para proteger o produto ESET de ser alterado por um invasor. Isso impede a modificação das configurações sem autenticação, a desativação da proteção ou até mesmo a desinstalação do produto ESET. Se estiver usando o RDP, recomendamos usar uma senha diferente da usada para as credenciais de login do RDP.
Para obter mais informações, consulte como proteger seu produto ESET com uma senha.
Os arquivos criptografados podem ser recuperados?
O ransomware moderno criptografa os dados usando métodos assimétricos e vários tipos de cifras de criptografia. Em resumo, os arquivos são criptografados com uma chave pública e não podem ser descriptografados sem a chave privada associada. Com o ransomware atual, a chave privada nunca está localizada na estação de trabalho ou no ambiente afetado. Isso significa que os dados precisarão ser restaurados a partir de um bom backup feito antes da infecção.
Se não houver backups disponíveis, você poderá tentar recuperar os arquivos das cópias de sombra. Você pode usar o Shadow Explorer, que pode ser baixado da seguinte página da Web: http://www.shadowexplorer.com/downloads.html
No entanto, não é incomum que infecções por ransomware excluam Shadow Copies para impedir a recuperação de arquivos.
Que medidas você deve tomar se for infectado por ransomware?
-
Desconecte o computador da rede.
-
Localize o arquivo TXT ou HTML com as instruções de pagamento, por exemplo, "How to decrypt" (Como descriptografar) pastas/drives compartilhados criptografados. Isso pode ser usado por nossos pesquisadores de malware para análise posterior.
-
Entre em contato com seu parceiro local da ESET para obter suporte.
