Visão Geral
O CSIRT-DF alerta para o aumento da ocorrência de incidentes de segurança relacionados a ransomware, um tipo de malware utilizado para bloquear o acesso de um usuário ao seu computador e/ou arquivos em troca de pagamento, uma espécie de “sequestro digital”.
Ransomwares se utilizam de técnicas de disseminação comuns em outros tipos de malware, como macros em documentos Microsoft Word, anexos em mensagem de e-mail ou disfarçando-se de algum software utilitário como antivírus, atualização de software ou plug-ins de vídeo.
Impacto
• Perda temporária ou permanente do acesso a arquivos;
• Perda financeira pela interrupção dos negócios;
• Perda financeira pela inacessibilidade de carteira de moeda digital (Bitcoin, Litecoin etc.);
• Danos à imagem da organização.
Solução / Mitigação
Recomendações preventivas:
• Manter atualizados o sistema operacional e demais softwares
Microsoft TechNet - Práticas recomendadas de segurança
• Configure seu sistema operacional para exibir a extensão de arquivos evitando que um usuário, inadvertidamente, clique em um executável com o nome “fotos.jpg.exe”
Microsoft Windows - Mostrar ou ocultar as extensões de nome de arquivo
• Desativar o serviço RDP (Remote Desktop Protocol). Algumas variantes de ransomware utilizam o protocolo RDP para disseminação do Malware
Microsoft TechNet - Habilitar ou desabilitar a Área de Trabalho Remota
• Limitar o acesso de usuários a compartilhamentos de rede
Windows Server - Limitando direitos de usuário
Microsoft TechNet - Limitar o número de usuários de um recurso compartilhado
• Limitar o privilégio de usuários para instalar e executar programas no computador. Estabelecer uma lista-branca de programa permitidos é uma medida bastante restritiva, mas eficaz
Microsoft TechNet - Guia passo a passo do controle de conta de usuário do Windows
• Realizar manualmente a sincronização de arquivos na nuvem, especialmente para serviços que não oferecem o recurso de versionamento
• Não ativar a execução de macros em documentos do Word, Excel e similares
Suporte Office - Habilitar ou desabilitar macros nos documentos do Office
• Realizar cópias de segurança (backups) periodicamente e manter, pelo menos, uma cópia off-line
• Desativar a execução automática em mídias e pendrives
Microsoft Windows - Mudar configurações de Reprodução Automática
• Não executar programas nem clicar em links de fontes desconhecidas, seja em sites ou mensagem de e-mail
• Ative o recurso de Cópia de Sombra de Volume (Volume Shadow Copy) se estiver disponível para o seu sistema operacional
Windows Server - Habilitar e configurar cópias de sombra de pastas compartilhadas
• Utilize regularmente o recurso de snapshot em máquinas virtuais e storages que suportem este recurso
Windows Server - Sobre snapshots de máquina virtual
• Utilize um bloqueador de pop-ups (Ad-block)
Microsoft Central de Proteção e Segurança - Pop-Ups
• Certificar-se que um ponto de restauração do sistema foi criado antes de instalar qualquer software.
Microsoft Windows - Criar um ponto de restauração do sistema
Recomendações reativas:
• Desativar imediatamente a conexão com a rede, inclusive Wi-Fi;
• Realize uma varredura completa com o software antivírus;
• Não pague pelo desbloqueio do computador ou recuperação de seus arquivos. Além não ter nenhuma garantia de obter de volta o acesso, esta medida incentiva a prática dos criminosos;
• Utilize o recurso de Recuperação do Sistema para reaver um estado sadio do sistema operacional;
• Altere o relógio da BIOS para evitar que o prazo de pagamento do “resgate” seja alcançado antes que as medidas de recuperação possam ser tomadas.