Lidar com as consequências dos ataques de Ransomware é como jogar
uma roleta russa, onde se submeter a pagar o resgate pode ser a única opção
para recuperar dados bloqueados. É precisamente por isso que o foco na
prevenção é uma abordagem criteriosa para se adotar.
A evolução do Ransomware ao longo dos últimos anos tem impulsionado a indústria da segurança a criar uma enorme quantidade de ferramentas voltadas ao bloqueio desses tipos de ameaças na tentativa de impedi-los de atacar os computadores. Uns poucos dessas ameaças são a prova de bala.
Este artigo está focado em medidas adicionais que os usuários devem empregar para garantir um nível maior de defesa contra essas pragas.
A evolução do Ransomware ao longo dos últimos anos tem impulsionado a indústria da segurança a criar uma enorme quantidade de ferramentas voltadas ao bloqueio desses tipos de ameaças na tentativa de impedi-los de atacar os computadores. Uns poucos dessas ameaças são a prova de bala.
Este artigo está focado em medidas adicionais que os usuários devem empregar para garantir um nível maior de defesa contra essas pragas.
Em primeiro
lugar certifique-se de fazer backup de seus arquivos mais importantes em uma base
regular.
O ideal é que os backups devam ser diversificados, em mais de um tipo de mídia, para que em caso de falha de um deles não leve a uma perda irreversível dos dados.
Armazene uma cópia em um serviço de nuvem confiável, use outros meios físicos como um disco rígido portátil, se for o caso use também DVD ou BluRays.
Uma tática eficaz é alternar os privilégios de acesso aos dados e definir as permissões de leitura e gravação para que os arquivos importantes não possam ser modificados ou apagados por qualquer usuário. Uma outra dica adicional é a verificação da integridade das copias de backup de vez em quando para se certificar que estão funcionando.
Personalize as definições de Antispam de maneira correta.
O ideal é que os backups devam ser diversificados, em mais de um tipo de mídia, para que em caso de falha de um deles não leve a uma perda irreversível dos dados.
Armazene uma cópia em um serviço de nuvem confiável, use outros meios físicos como um disco rígido portátil, se for o caso use também DVD ou BluRays.
Uma tática eficaz é alternar os privilégios de acesso aos dados e definir as permissões de leitura e gravação para que os arquivos importantes não possam ser modificados ou apagados por qualquer usuário. Uma outra dica adicional é a verificação da integridade das copias de backup de vez em quando para se certificar que estão funcionando.
Personalize as definições de Antispam de maneira correta.
A maioria das variantes de Ransomware é conhecida por se
espalhar através de e-mails atraentes que carregam anexos contagiosos. Uma
ótima ideia é configurar o servidor de Webmail para bloquear anexos duvidosos
com extensões como por exemplo .exe, .vbs ou .scr.
Nunca abra anexos de e-mails que você não conheça que esta
enviando e que você tenha sido comunicado que o e-mail com anexo seria enviado,
outra atitude é conversar com a pessoa que enviou o e-mail e se certificar que
o envio é confiável.
Lembre-se que envios maldosos não só enviados por pessoas desconhecidas,
mas também por remetentes que você acredita conhecer, e-mails de phising podem
mascarar as notificações de um serviço de entrega, um serviço de ecommerce, uma
agencia governamental ou uma instituição bancaria.
Não abra hiperlinks de envios duvidosos, coloque o mouse
sobre o hiperlink copie-o e cole no notepad e observe se ele realmente é o que
está escrito, normalmente estes links são completamente diferente da descrição
que os acompanha, os hackers usam também as redes sociais e as mensagens instantâneas,
eles se apoderam da identidade das pessoas e enviam mensagens como se fosse uma
pessoa do seu circulo de amigos.
Os links que acompanham as mensagens, os e-mails e outros
envios podem estar mascarados e terem mais de uma extensão como por exemplo cute-dog.avi.exe,
ou tabela xlsx scr, por isso é necessário que se confira o link antes de
abri-lo. Mas é possível que um ataque também possa vir através de um arquivo da
Microsoft, uma planilha Excel ou um texto em Word tendo em seu conteúdo uma
macro contendo um malware que pode ser ativada ao abrir o arquivo e executar a
macro, por isso não abra planilhas ou documentos de Word sem antes verificar
sua origem.
Mantenha seu sistema operacional, antivírus, navegadores,
Adobe Flash Player, Java, e outros softwares up-to-date, façam atualizações
pontuais. Estas ações irão impedir a ação dos chamados “exploit kits”.
Caso você se depare com algum processo suspeito no seu notebook, computador, Tablet etc., desligue a internet imediatamente. Essa ação é particularmente eficaz na fase inicial do ataque porque o Ransomware não terá oportunidade de estabelecer uma conexão com o servidor de comando e controle e, portanto não poderá concluir a rotina de criptografia.
Caso você se depare com algum processo suspeito no seu notebook, computador, Tablet etc., desligue a internet imediatamente. Essa ação é particularmente eficaz na fase inicial do ataque porque o Ransomware não terá oportunidade de estabelecer uma conexão com o servidor de comando e controle e, portanto não poderá concluir a rotina de criptografia.
Existe uma funcionalidade no Windows chamada Volume Shadow Copy Service (vssaexe), essa rotina é uma ferramenta muito útil que pode ser usada para restaurar versões anteriores de arquivos, o caso é que com a evolução dos Malwares de criptografia de arquivos o Vssadmim.exe se transformou em um problema em vez de um serviço que nos favorece. O caso é que os Malwares mais "evoluídos" usam essa rotina (ou função como preferir) para apagar os "volumes de sombra", uma vez que a mesma tanto pode ser usada para recuperar estes volumes como para apaga-los. O que aconselha é que apos a montagem do volume Shadow Copy nós desativemos a função, para ativa-la, caso aconteça, após um ataque que não consigamos evitar e ai recuperar nossos arquivos minimizando o problema que este tipo de ação nos traz.
Devemos manter o Firewall do Windows ativado e corretamente
configurado a todo o momento, existem pacotes de segurança que podem acomodar
mais de um firewall nos sistema apara aumentar o conjunto de recursos de
segurança, analisar essa possibilidade poderá trazer uma grande contribuição a
defesa contra as transgressões. Existem muitos Firewall gratuitos e
extremamente eficientes que convivem com o firewall nativo do Windows, isso
para usuários standard ou end user, uma rápida busca em um sistema de consulta
(Google, Yahoo, Bing etc.) poderá facilmente aponta-los. Use os chamados
reviews, que são os artigos que analisam hardwares e softwares para ajuda-lo em
sua escolha. Temos hoje boas empresas brasileiras nesse ramo de atividade.
Configure seu antivírus para também analisar os pacotes de
arquivos compactados, atualmente a maior parte dos antivírus, mesmo nas versões
gratuitas, possuem essa função. Outra ação muito eficaz na prevenção de ataques
é a desativação do Windows Script Host.
Caso você não tenha o habito de usar automações de tarefas,
considere a possibilidade de desabilitar o Windows PowerShell, que nada mais é
do que uma estrutura de automação de tarefas que a maioria dos end-user não a
usam e nem mesmo sabem de sua existência.
Considere também melhorar a segurança dos componentes do MS
Office (Word, Excel, PowerPoint), desativando as macros (quando você não as usa,
claro) e o activex, outra ação eficiente é o bloqueio de conteúdo externo
evitando que códigos maliciosos sejam executados sem autorização.
Instalar complementos em seu navegador, como por exemplo,
bloqueadores de pop-ups também irão ajudar na prevenção de ataques, no caso você
poderá autorizar ou não a abertura deste tipo de "janela" em seu
navegador e com isso não terá prejuízo na obtenção de informações.
Desative em seu computador a reprodução automática, pois com
essa ação você impedira que processos que não são de seu conhecimento se
executem automaticamente a partir de mídias externas como drives USB, CDs DVDs
etc.
Verifique sua configuração de internet e considere a desativação
de serviços remotos e o compartilhamento de arquivos, impressoras e outros,
caso seu computador não esteja em uma rede seja ela residencial ou corporativa,
claro. Um hacker pode também usar seu computador para a realização de ataques a
outros computadores que estão na mesma rede de Internet, por exemplo; caso você
seja usuário de uma conexão de Internet da Vivo, eles podem elencar um
"range" de IPs a começar pelo seu e usando o Remote Desktop Protocol
espalhar um ataque por todos os computadores que estão usando aquela sequencia
de IPs.
Caso não esteja usando alguma conexão wireless, desligue-a. Por
exemplo, portas de infravermelho e o Bluetooh, as conexões que não usamos, mas
que deixamos ativas podem em muitos casos serem usadas para expandir a ação do
ataque.
Definir Políticas de restrição de software que mantêm
arquivos executáveis e que estes sejam executados quando eles estão em locais
específicos no sistema. Os diretórios mais utilizados para a realização de processos
maliciosos incluem ProgramData, AppData, Temp e Windows \ SYSWOW.
O gateways do Tor (The Onion Router) são um dos principais
meio de ameaças que os hacker usam para ataques de Ransomware, estes gateways são
usados para fazer a comunicação com seus
servidores e desktops. Portanto, bloquear estes gateways poderá impedir os
processos maliciosos críticos de passarem.
Desde que os Ransomware são definitivamente hoje o número um
em termos de perigo cibernético devido aos danos que causa e do fator de
prevalência, as contra medidas que citei acima são uma obrigação. Caso
contrário, seus arquivos mais importantes poderão acabar completamente perdidos.
A principal recomendação, porém, continuara e sempre será
aquela sobre backups - off-line e na nuvem. Neste cenário, a recuperação
consiste em remover o Trojan do sistema (devemos ter cuidado na remoção dos
Malwares) e a transferência de dados a partir do armazenamento de backup.
Atualmente, lidar com as consequências de um ataque de Ransomware
não é muito promissor do ponto de vista de utilitários de descriptografia. É
por isso que frustrar o ataque de vírus poderá poupa-lo de ter que dispender
alguns reais (ou bitcoins) e garantir sua paz de espírito e a continuidade de
seu negocio.
Artigo traduzido, corrigido e adaptado do Blog Tripwire, escrito originalmente por David
Balaban, pesquisador na área de Segurança Digital, com mais de dez anos de experiencia em analises de Malwares e avaliação de softwares Antivirus.
Nenhum comentário:
Postar um comentário