Skip to content
Aiqon Blog
Ransomware Prevenção
Cyber Security

Ransomware: Melhores Práticas de Prevenção

Publicado

Não existe ação milagrosa que te protegerá contra o Ransomware em todos os casos. Entretanto, seguir algumas da melhores práticas de prevenção contra o Ransomware minimizará o risco de infecção e limitará o dano que um potencial ataque bem sucedido pode causar.

Nesse Artigo

Background: O Que é o Ransomware e Como Ele Funciona

O Ransomware é um tipo de malware que bloqueia o acesso aos dados da vítima (fotos, informação pessoal, documentos, backups, etc.) e ameaça publicar ou deletar a não ser que o sequestro desses dados seja pago. Enquanto alguns ransomwares simples bloqueiam o sistema de forma que não é difícil uma pessoa com bastante conhecimento consiga reverter, malware mais avançados usam técnicas chamadas de extorsão criptoviral, que torna quase impossível recuperar os arquivos da vítima sem a chave de descriptografia. Muitos ataques exigem pagamentos do sequestro de serem feitos em moedas digitais como Ukash e Bitcoin, que são difíceis de se rastrear, tornando a perseguição dos criminosos difícil. O primeiro ransomware conhecido foi implementado em 1989. Em 2013, o uso destes vírus já haviam se tornado comuns ao redor do mundo.

O invasor gera um par de chaves e coloca a chave pública em um pedaço do malware. Quando a infecção do ransomware é feita em um computador, ela gera uma chave simétrica aleatória e criptografa os dados da vítima com ela. Então, a chave pública é utilizada para criptografar a chave simétrica. O Malware então mostra a mensagem para a vítima com instruções de como pagar o sequestro dos dados. Quando a vítima envia o pagamento, o invasor usa a chave privada do par de chaves para descriptografar as chaves simétricas e enviar as chaves simétricas não criptografadas para a vítima, que pode usá-la para descriptografar os dados. (Claro, não há garantia nenhuma que os invasores te enviarão a chave de descriptografia.)

Os ataques de ransomware são tipicamente carregados utilizando um Trojan, um malware disfarçado de arquivo legítimo que engana um usuário a baixá-lo ou abri-lo quando ele chega em um e-mail como anexo. Entretanto, um exemplo de ransomware mais avançado como o Worm WannaCry, viaja automaticamente entre computadores sem interação do usuário final.

prevenção ransomware

Melhores práticas para prevenção de infecção por Ransomware

  • Treine os seus colaboradores e aumente a percepção de segurança da sua TI para que eles não caiam em e-mails de phishing, e-mails de spam e outros ataques de engenharia social.
  • Não dê direitos administrativos aos usuários regulares nas suas estações de trabalho. 
  • Mantenha seu software de antivírus, proteção de endpoints, vacinas digitais e outros softwares de segurança e bancos de dados atualizados. Realize scans dos seus servidores e estações de trabalho para encontrar ferramentas desatualizadas.
  • Aplique os últimos patches nos seus sistemas operacionais e aplicações o mais rápido possível para reduzir o período de tempo em que as vulnerabilidades conhecidas possam ser exploradas. Entretanto, sempre teste novas atualizações, patches e correções de emergência em um lab antes de aplicá-las na produção
  • Faça o bloqueio de extensões de ransomwares conhecidos através do Gerenciador de Recursos do File Server. Se um malware de ransom não conseguir criar arquivos com essa extensão no seu file server, ele não poderá criptografar seus arquivos.
  • Configure seu firewall para deixar na lista de inclusão apenas as portas e hosts específicos que você precisa. Por exemplo, não abra as portas de desktop remoto para a internet.
  • Instale e configure de forma apropriada sistemas de prevenção de intrusos e detecção de intrusos para reduzir os vetores de ataques e a chance de ser comprometido com um ransomware.
  • Caso você descubra um processo estranho ou desconhecido nos seus servidores ou estação de trabalho, desconecte-o imediatamente das conexões com a rede e então faça a investigação da ameaça.
  • Minimize o risco de BYOD (Bring your own device) criando uma rede para usuários convidados ou dispositivos desconhecidos.
  • Habilite a senha segura e as políticas de bloqueio de conta nos seus ambientes on-premises e virtuais para reduzir a chance de infecção de ransomware após um ataque de força bruta.
  • Considere segregar a rede da sua organização em diferentes zonas para minimizar a capacidade do ransomware de se espalhar se ele entrar em um dos seus segmentos de rede.
  • Limite o acesso do usuário a pastas compartilhadas fazendo o gerenciamento apropriado de permissões NTFS através de grupos de segurança. Já que o malware de ransom pode criptografar apenas os arquivos que a vítima tem acesso, um modelo restrito de privilégios limita o dano que pode ser causado.
  • Desabilite o smb v1. Isso ajudará na prevenção de ransomware comuns como o WannaCry de se espalhar por toda sua rede.
  • Habilite as tecnologias de sandbox e honeypot. Você pode por em quarentena o ransomware através de uma sandbox e então checar o potencial impacto dele. Você também é capaz de analisar o comportamento desse tipo de malware para ajudar a identificar táticas de evasão que eles utilizam além de tampar potenciais buracos na suas defesas de segurança cibernética.
Leia também:  Não Deixe que Senhas Fracas Afetem Sua Empresa

Pare o Ransomware via Política de Grupo

  • Configure uma política de grupo para mostrar extensões ocultas em todas as estações de trabalho para que os usuários vejam arquivos com extensões duplas (como nomedoarquivo.doc.exe) que os invasores usam para mascarar os softwares maliciosos.
  • Configure a política de controle de aplicação para colocar tudo na lista de exclusão e deixar na lista de inclusão apenas os softwares que você precisa.
  • Configure a política de restrição de software para que os usuários executem apenas extensões autorizadas. Isso irá bloquear softwares maliciosos a serem executados.
  • Use a política de grupo para desabilitar o AutoPlay e o Autorun em todas as estações de trabalho. Desabilite a execução de anexos de e-mail ou coloque em quarentena os anexos utilizando seu filtro de spam.
  • Habilite as capacidades de smartscreen e bloqueador de popup no Internet Explorer para proteger os usuários de verem Ads que os levariam a sites maliciosos.

prevenção ransomware correção de vulnerabilidades

Esteja Preparado Para se Recuperar de um Ataque de Ransomware

  • Faça backups regulares de todos os seus dados e sistemas sensíveis. Tenha certeza de armazená-los offline pois o ransomware pode criptografar os arquivos de backup também caso chegue até eles. Manter backups atualizados te ajudará a restaurar seus arquivos críticos rapidamente.
  • Habilite o histórico de arquivos no Windows 10 e 8.1.
  • Mantenha um inventário completo e atual de todos os seus servidores, estações de trabalho, pontos de acesso, dispositivos de segurança cibernética e outros equipamentos de negócio, incluindo seus endereços na rede para que você encontre rapidamente a origem de um ataque e isole-o.

Esteja Preparado Para Detectar Ataques de Ransomware e Realizar uma Resposta Efetiva

  • Monitore seus file servers vendo se houve modificação de uma grande quantidade de arquivos com extensões diferentes em curto período de tempo. Leva algum tempo para que o ransomware criptografa os arquivos mas você precisa rastrear a sua origem. Quando você encontrar a origem, deixe-a offline imediatamente para impedir que o ransomware se espalhe, ajudando na prevenção.
  • Cheque o nome do ransomware, se for um malware velho ele pode já ter sido desvendado pela comunidade de TI, você pode encontrar informações úteis para recuperar os dados.
  • Tenha cuidado com notificações de sistemas te pedindo dinheiro para descriptografar seus arquivos, algumas podem ser falsas demandas que não criptografam arquivos.
  • Tenha em mente que mesmo ataques de ransomware não criptografam todos os seus arquivos.
  • Não pague os invasores. Mesmo que você consiga os dados importantes de volta, eles continuarão atacando você e te forçando a pagar repetidamente. Se você já pagou utilizando um cartão de crédito, entre em contato com o seu banco e bloqueie a transação imediatamente.
Leia também:  O acesso a cybersecurity baseada em IA exige um novo olhar sobre os orçamentos das organizações

Ferramentas de Remoção de Ransomware Gratuitas

Aqui está uma lista de ferramentas de remoção de ransomware que irão, em conjunto com o seu antivírus, te ajudar na detecção e remoção de ransomware:

Para uma lista de ferramentas de descriptografia adicionais, veja a lista mantida pela organização No More Ransom.

Artigos recomendados

Comente o que achou do artigo