Problema
- Este artigo inclui as melhores práticas para ajudá-lo a configurar seu sistema e proteger-se contra ransomware
Detalhes
Ransomware é um malware que pode bloquear um dispositivo ou criptografar seu conteúdo para extorquir dinheiro do proprietário em troca de restaurar o acesso a esses recursos. Este tipo de malware também pode ter um timer embutido com um prazo para pagamento que deve ser cumprido, caso contrário o preço para desbloquear os dados e o hardware aumentam ou a informação e o dispositivo ficarão permanentemente inacessíveis.
Filecoders/Ransomware são infecções que criptografam dados e arquivos pessoais. Tipicamente, uma estação de trabalho é infectada e então o Filecoder/Ransomware tenta criptografar qualquer drive compartilhado mapeado. Isso pode fazer com que a infecção pareça estar se espalhando pela rede quando na verdade não está.
Enquanto seus arquivos possam ser criptografados, seu sistema pode não ser infectado. Isso é possível quando um drive compartilhado em um servidor de arquivo é criptografado, mas o servidor em si não contém a infecção por malware (a menos que seja um servidor de Terminal).
Outras ameaças de filecoder também são conhecidas como :
-
Win32/Filecoder
-
Filecoder.WannaCryptor
-
Win32/Filecoder.TeslaCrypt.A (TeslaCrypt) ou Win32/Filecoder.Locky.A infecta depois de se abrir um e-mail de uma fonte desconhecida ou arquivos ZIP deste tipo de e-mail
-
"CryptoLocker", "Cryptowall", "Dirty decrypt" e "CTB locker"
-
Win32/TrojanDownload.Elenoocka.A
- Win32/Gpcode
Solução
As versões atuais dos produtos ESET usam múltiplas camadas de tecnologia para proteger os computadores contra ransomware.
Exemplos destas tecnologias incluem Escaneador de Memória Avançado, Sistema de Reputação do ESET LiveGrid® e Bloqueador de Exploit.
Adicionalmente, os produtos mais recentes da ESET fornecem um módulo aprimorado de Proteção contra Botnet que bloqueia a comunicação entre o ransomware e os servidores Comando e Controle (C&C).
Melhores práticas gerais do produto anti-ransomware ESET | Práticas anti-ransomware gerais | Recuperando arquivos criptografados | Serviços de Suporte ESET
Melhores práticas gerais do produto anti-ransomware ESET
- Mantenha o Escaneador Avançado de Memória e o Bloqueador de Exploit habilitados
Estas duas funcionalidades estão habilitadas por padrão nas versões 5 e posteriores dos produtos ESET. Estes algoritmos recentemente desenhados da ESET fortalecem a proteção contra o malware que foi desenhado para burlar a detecção por produtos anti-malware através do uso de ofuscação e/ou criptografia.
O Escaneador Avançado de Memória busca comportamentos suspeitos após o malware se lançar na memória e o Bloqueador de Exploit fortalece a proteção contra ataques e vulnerabilidades previamente desconhecidas, como as conhecidas como vulnerabilidades zero-day (dia zero).
Recomendamos que você atualize para a versão mais recente se voce estiver rodando o ESET Smart Security ou o ESET NOD32 Antivirus (incluindo as edições corporativas) versão 4.x ou anteriores:
Usuários domésticos: Qual produto ESET eu tenho e é a versão mais recente? (Usuários domésticos)
Usuários corporativos: Tenho a versão mais recente dos produtos corporativos ESET?
- Mantenha o ESET LiveGrid habilitado
O Sistema de Proteção contra Malware na Nuvem ESET é baseado no ESET LiveGrid. Ele monitora aplicativos potencialmente maliciosos e desconhecidos e envia amostras para o sandbox automático e para análise de comportamento.
Assegure-se de que o ESET LiveGrid esteja habilitado e funcionando em seu produto ESET.
-
Assegure-se que os "drives de rede" estejam selecionados na proteção de sistema de arquivos em tempo real
Com a proteção de drive de rede habilitada, o escaneador em tempo real da ESET permitirá acionar a detecção em uma estação de trabalho infectada, prevenindo que o ransomware processe a criptografia do drive. Veja proteção de sistema de arquivo em tempo real para mais informações.
-
Mantenha o produto ESET atualizado
Novas variantes de ransomware são lançadas frequentemente, então é importante que você receba atualizações de banco de dados de vírus regularmente (seu produto ESET checará as atualizações a cada hora, contanto que você tenha uma licença válida e uma conexão de internet que funcione).Usuários domésticos: Como eu sei se o ESET Smart Security/ESET NOD32 Antivirus está atualizado corretamente?
Usuários corporativos: Como eu sei se meu produto corporativo ESET está atualizado corretamente?
-
Usuários de máquinas virtuais
Para uma melhor proteção contra o malware Filecoder, recomendamos o uso do ESET Endpoint Security em ambientes virtuais. Você pode usar o ESET Endpoint Security com o ESET Shared Local Cache para minimizar a carga em sua rede que pode ser causada por múltiplas máquinas virtuais fazendo o download das atualizações.
Melhores práticas anti-ransomware gerais — Minimiza seu risco de malware baseado em criptografia (ransomware)
-
Mantenha backups do seu sistema
Planeje fazer backups do seu sistema em intervalos regulares e mantenha pelo menos um desses backups em armazenamento offline para proteger seu trabalho mais recente de um ataque. A ESET recomenda o uso do backup pessoal Backblaze.
-
Permissões e restrições de direitos de usuário
Há muitos tipos de restrição, como a restrição de acesso a dados de aplicativo e alguns que são pré-construídos como Objeto de Política de Grupo (GPO).-
Desabilite arquivos que rodem a partir das pastas AppData e LocalAppData.
-
Bloqueio da execução a partir do subdiretório Temp (parte da árvore AppData por padrão).
-
Bloqueio de arquivos executáveis rodando a partir de diretórios de trabalho de várias ferramentas de descompressão (por exemplo, WinZip ou 7-Zip).
Adicionalmente, no ESET Endpoint Security/Antivirus, no ESET Mail Security e no ESET File Security, você pode criar regras de HIPS para permitir apenas que certos aplicativos rodem no computador e bloqueie todos os outros por padrão: Como eu crio uma regra de HIPS e a executo na estação de trabalho do cliente? (6.x)
-
Desabilite arquivos que rodem a partir das pastas AppData e LocalAppData.
- Não desabilite o Controle de Conta do Usuário (UAC)
Não abra anexos que dizem ser fax, fatura ou recibo se eles tiverem um nome suspeito ou você não estiver esperando recebê-los.
O que eu posso fazer para minimizar o risco de ataque de malware?
-
Use o duplo fator de autenticação (2FA)
Recomendamos o ESET Secure Authentication.
-
Desabilite o Macros no Microsoft Office via Política de Grupo
Office 2013/2016 (o seguinte link é para 2013, mas são as mesmas configurações do de 2016): Planeje as configurações de segurança de macros VBA para Office
- Mantenha seu sistema atualizado
Para assegurar que você tenha a melhor proteção disponível, mantenha seus sistemas operacionais e aplicativos atualizados. Instale as últimas atualizações com maior prioridade oferecidas na ferramenta de atualização do Windows e cheque regularmente ou habilite a funcionalidade de atualizações automáticas. Novas atualizações de segurança protegem o sistema contra vulnerabilidades e reduzem o risco de ataque de malware.
A Microsoft lançou patches para o sistema operacional Windows atual, bem como para o Windows XP para mitigar uma vulnerabilidade crítica. Veja Microsoft Security Bulletin MS17-010 - Crítico para instruções sobre como aplicar essas atualizações.
-
Se você está usando o Windows XP, desabilite o SMBv1.
- Melhores práticas contra ataques de Protocolo de Desktop Remoto
O malware baseado em criptografia frequentemente acessa máquinas-alvo usando a ferramente de Protocolo de Desktop Remoto (RDP) integrada no Windows. O RDP permite que outros se conectem em seu sistema remotamente, de modo que o atacante possa usar de uma maneira não apropriada o RDP para remover a proteção e então instalar o malware.
a) Desabilitar ou mudar o Protocolo de Desktop Remoto
Se você não precisa usar o RDP, você pode mudar a porta padrão (3389) ou desabilitar o RDP para proteger sua máquina do Filecoder e outros exploits de RDP. Para instruções sobre como desabilitar o RDP, veja o artigo apropriado abaixo da Base de Conhecimento da Microsoft:
Para mais informações sobre RDP, veja o seguinte arquivo do We Live Security: Ataques que se aproveitam do RDP: eu possp ver seu desktop!
b) Proteção por senha das configurações de produto ESET
Se você precisar manter o RDP rodando e não puder desabilitá-lo ou mudar as configurações de RDP, você pode usar uma senha para proteger o produto ESET de ser alterado por um hacker. Isso previne a modificação de configurações não autenticadas, a desailitação da proteção e até mesmo a desinstalação do produto ESET. Recomendamos o uso de uma senha diferente da usada para as credenciais de login do RDP.
- Assegure-se que você tenha a proteção contra ransomware habilitada (versão 10 dos produtos Windows apenas)
A proteção contra ransomware como parte da tecnologia de auto-defesa é uma outra camada de proteção que funciona como parte da funcionalidade de HIPS. O ESET LiveGrid deve estar habilitado para a proteção contra ransomware para funcionar adequadamente. Para mais informações, veja O que há de novo na versão 10 dos produtos domésticos da ESET — proteção contra ransomware.
Os arquivos criptografados podem ser recuperados?
Os Filecoders/ransomware modernos criptografam os dados usando métodos assimétricos e múltiplos tipos de cifras de criptografia. Em resumo, os arquivos são criptografados com uma chave pública e não podem ser descriptografados sem a chave particular associada. Com o ransomware atual, a chave particular não é localizada nunca na estação de trabalho ou no ambiente afetado. Isso significa que os dados precisarão ser restaurados a partir de um bom backup feito antes da infecção.
Se nenhum backup estiver disponível, você pode tentar recuperar os arquivos no Shadow Copies. Você pode usar o Shadow Explorer, que pode ser baixado a partir da seguinte página: http://www.shadowexplorer.com/downloads.html
Contudo, não é incomum que as infecções por ransomware deletem o Shadow Copies para impedir a recuperação dos arquivos.
Quais passos devo tomar caso seja infectado por ransomware?
-
Desconecte o computador da rede.
-
Localize o arquivo TXT ou o HTML com as instruções de pagamento, por exemplo, pastas compartilhadas "Como descriptografar" / drives criptografados. Isso pode ser usado por nossos pesquisadores de malware para mais análises.
-
Rode o ESET SysRescue no computador infectado. Apenas faça a restauração do backup quando a ameaça for identificada e removida (veja a seção acima: Mantenha os backups do seu sistema.
- Entre em contato com a ESET seguindo as instruções na seção Serviços de Suporte ESET abaixo.
Serviços de suporte ESET
-
Clientes ESET América do Norte exclusivamente — Você pode começar uma sessão de chat ao vivo com o agente de suporte técnico na seguinte página: ESET Live Chat.
- Clientes ESET em outras partes do mundo — Entre em contato com seu parceiro de suporte ESET local.