Como funciona o Ransomware? Basta ter um antivírus para estar protegido? Como ocorre uma contaminação?
Essas são somente algumas das perguntas que ouço todos os dias sobre Ransomware. Vamos responder essas e outras dúvidas neste artigo.
Abaixo os principais pontos que iremos abordar.
- O que é Ransomware?
- Tipos de Ransomware
- Como o Ransomware contamina a sua máquina?
- Prejuízos que um ataque pode trazer.
- Fui infectado! O que fazer? Consigo recuperar os meus arquivos?
- Qual a melhor proteção contra Ransomware?
Afinal de contas, o que é Ransomware?
Ransomware é uma categoria de malware (código malicioso de computador), que quando infecta um computador, criptografa os seus arquivos os tornando inacessíveis. Algo parecido com a imagem abaixo.
Como pode ver no exemplo acima, os arquivos estão completamente inacessíveis devido a criptografia. Somente o criminoso que lançou o ataque possui a senha para descriptografar os seus arquivos.
Geralmente, depois de um ataque, o crimino deixa um arquivo TXT ou HTML com uma mensagem com as instruções para pagar o resgate e recuperar os seus arquivos.
Resgate? Como assim pagar um resgate?
Sim, resgate! Essa é a forma que os cybercriminosos encontraram de fazer dinheiro rápido e fácil.
O objetivo principal de uma ataque com o Ransomware é sequestrar os dados das suas máquinas e pedir um resgate para devolver. Geralmente esse resgate é pago através de alguma moeda digital, sendo o Bitcoin a preferia. Veja abaixo um exemplo de uma mensagem de resgate encontrada em uma máquina contaminada.
Algumas destas mensagens tem contadores de tempo, que aumentam o valor do resgate depois de alguns dias.
Talvez você esteja se perguntando: “devo pagar o resgate?” Mais adiante iremos tratar sobre esse assunto.
Tipos de Ransomware
Todos os dias pesquisadores de segurança tem encontrado novas variantes de ransomwares, descobrindo diferentes formas e métodos usados pelos criminosos para roubar dinheiro diretamente de consumidores e negócios.
Basicamente, existem 03 tipos de ransomware, são eles:
- Criptográficos: é a forma mais comum de ransomware. Os ataques por esse tipo de ameaça criptografam todo o HD da vítima, pedindo um resgate em troca da descriptografia dos dados.
- Lock-Screen: este tipo de malware trava o funcionamento da máquina na tela que exige o pagamento.
- Scareware: esta variante menti para o usuário, indicando que o computador esta com problemas, exigindo um pagamento para solucionar. O computador continuará funcionando, mas a vítima receberá alertas e alguns programas podem realmente apresentar problemas de forma aleatória.
Como ocorre uma contaminação
A grande maioria das contaminações ocorrem por email através de campanhas de Phishing, que nada mais são que e-mails falsos, estruturados de uma maneira que a vítima pense que são emails verdadeiros.
Esses e-mails sempre solicitam alguma ação do usuário como clicar no anexo ou em um link para download de um arquivo contaminado.
Ao executar o arquivo, o malware começa a sua atuação de forma silenciosa em segundo plano.
Abaixo um infográfico sobre como é o processo de contaminação por Ransomware.
Os prejuízos que o Ransomware causa
De acordo com o FBI, o Ransomware já movimentou mais de US$ 70 milhões no mundo todo, e são realizados, em média, 300 ataques todos os dias (fonte). A própria Kaspersky divulgou que o Brasil concentra 92% dos ataques de Ransomwares na América Latina.
Um ataque por ransomware pode afetar a sua empresa das seguintes maneiras:
- Paralisação da empresa: quando a contaminação afeta máquinas importantes para o seu negócio, como seu servidor de banco de dados. Neste caso, se sua empresa não possui um plano de recuperação de desastres, pode ficar parada por vários dias.
- Perda de informações importantes: Como os arquivos são criptografados, a empresa precisa pagar ao criminoso para fazer a descriptografia dos arquivos. Mesmo pagando o resgate de seus computadores, não há garantia que terá os arquivos de volta.
- Perda de credibilidade: Seus clientes podem não confiar mais em você, já que sua empresa não conseguirá mais vender ou prestar os seus serviços.
- Prejuízos financeiros: Imagine não conseguir emitir nota fiscal? Sem faturar para seus clientes, não há dinheiro entrando no caixa.
Fui infectado! O que fazer? Consigo recuperar os meus arquivos?
Este é uma pergunta que a resposta costuma ser difícil de dar para nossos clientes.
Sim, existem algumas variantes de ransomware que conseguimos recuperar os arquivos criptografados, mas também existem alguns que ainda não temos ferramentas para efetuar a descriptografia, infelizmente.
Independente disso, é importante que você tome uma série de medidas assim que detectar um ataque. Essas medidas são importantes para garantir que nenhuma outra máquina na rede da sua empresa será infectada em aumentar as chances de recuperação.
Vamos ao passo-a-passo do que deve ser feito em caso de um ataque por ransomware.
1 – Isole a máquina contaminada da rede
É muito importante que a máquina contaminada seja isolada imediatamente para evitar que contamine outras máquinas, caso ela seja a fonte da contaminação.
Caso não consiga colocar ela em uma rede separada, desconecte o cabo de rede imediatamente.
2 – Instale um antivírus
É fundamental que a máquina seja verificada com um bom antivírus, de preferência um antivírus corporativo caso você seja uma empresa.
Se durante a varredura for identificado algum vírus, efetue a limpeza imediatamente.
5 – Restaure o seu backup
Se você possui um backup da máquina ou dos arquivos afetados, agora é a hora de fazer o restore.
É muito importante que, se o seu backup estiver em um dispositivo externo, você não conecte diretamente na máquina afetada. Essa medida é necessária para garantir que, caso a máquina ainda esteja infectada, ela não destrua os arquivos que estão no repositório de backup.
Copie os arquivos de backup para um outro dispositivo e ai sim conecte na máquina.
Mais a frente falaremos sobre a importância do backup.
3 – Não formate o HD
Essa dica vale somente se você quiser tentar recuperar os seus arquivos. Caso formate o HD da sua máquina, você reduzirá muito a chance de recuperação.
4 – Tente identificar o tipo de Ransomware
Existem alguns sites ou ferramentas que ajudam para você identificar o tipo de ransomware e se existe alguma ferramenta de descritografia.
Veja abaixo a lista de sites ou ferramentas:
- https://noransom.kaspersky.com/
- https://www.nomoreransom.org/pt/index.html
- https://id-ransomware.malwarehunterteam.com/
- Ferramenta da Bitdefender para identificação de versões do Ransomware.
Com as ferramentas acima você conseguirá recuperar os arquivos, caso a infecção seja por alguma variação conhecida de ransomware.
Se a contaminação for por alguma variante que ainda não possui uma ferramenta de descriptografia, tente usar algum software de recuperação de arquivos deletados.
Outra opção é tentar reveter a cópia de sombra do Windows caso ela esteja ativada.
Qual melhor proteção contra o Ransomware?
Já vimos que o ransomware é um tipo de malware bem sofisticado. Por isso ele exige que as empresas tenham um bom planejamento de segurança digital.
É comum ver muitos usuários acharem que somente um antivírus é suficiente para proteger de uma contaminação.
Infelizmente não é!
Já atendi vários clientes que estavam com máquinas contaminadas e aborrecidos pois tinham antivírus. Muitos queriam até trocar o antivírus, pois acreditavam que não era bom já que não tinha protegido corretamente.
Aqui cabe um esclarecimento importante. Quando falamos em segurança de TI, principalmente contra Ransomware, o antivírus é somente um dos componentes para proteger a sua empresa.
O problema maior não é a marca de antivírus que você usa, mas sim ele ser a ÚNICA proteção que você tem. Se ele falhar, já era.
A maioria das empresas que são contaminadas possuem um dos problemas abaixo:
- Sistemas sem atualização, principalmente de segurança;
- Usuários com liberdade para instalar qualquer programa em seus computadores;
- Serviços sensíveis da empresa expostos para a internet como banco de dados, acessos remotos e outras portas;
- Sistema operacionais muito antigos;
- Uso de softwares piratas ou craqueados;
- Antivírus sem gestão e monitoramento.
Os tópicos acima são somente alguns, de uma extensa lista de portas que permitem que seus computadores e servidores fiquem expostos a um ataque.
Abaixo destaco algumas medidas importantes que você deve analisar para garantir a proteção do seu ambiente.
- Backup: Revise seus procedimentos de backup e verifique qual o limite de informações que a sua empresa pode perder em caso de acidente. O backup em nuvem e a regra 3-2-1 podem ser a ferramenta mais importante de proteção e recuperação para proteger a sua empresa.
- Atualização de software: É preciso que mantenha todas as atualizações de seus Sistemas Operacionais e aplicativos em dia. É importante que tenha uma aplicação ou um processo que gerencie a aplicação de patches de segurança.
- Tenha um firewall: O básico é ter a certeza que o firewall do Windows está ativado em todas as máquinas da rede, mas só isso não é o suficiente. O ideal é ter uma proteção na borda da sua rede, com um firewall UTM bem configurado. Eu costumo recomendar os produtos da Fortigate, mas use a solução que lhe convier.
- Antivírus para empresas: Esqueça os antivírus gratuitos ou feitos para pessoas físicas. Sua empresa precisa de um antivírus corporativo, que permita um gerenciamento centralizado e possa impor as suas regras de segurança em todos os computadores da empresa. Além disso, garanta que seu antivírus é gerenciado por alguém habilitado.
- Sem acesso administrativo para usuários: Não permita que os seus usuários tenham acesso administrativo a suas máquinas, principalmente a pastas sensíveis dos sistemas. É importante que a empresa crie uma lista dos softwares que podem ser instalados em suas máquinas e que bloqueiem o acesso a todo o resto.
- Treine seus usuários: O elo mais fraco de todo planejamento de segurança é o usuário final. É muito importante que também seja criado um processo de treinamento continuo sobre boas práticas de segurança para o seu usuário.