Visão Geral

O CSIRT-DF alerta para o aumento da ocorrência de incidentes de segurança relacionados a ransomware, um tipo de malware utilizado para bloquear o acesso de um usuário ao seu computador e/ou arquivos em troca de pagamento, uma espécie de “sequestro digital”.

Ransomwares se utilizam de técnicas de disseminação comuns em outros tipos de malware, como macros em documentos Microsoft Word, anexos em mensagem de e-mail ou disfarçando-se de algum software utilitário como antivírus, atualização de software ou plug-ins de vídeo.

Impacto

• Perda temporária ou permanente do acesso a arquivos;
• Perda financeira pela interrupção dos negócios;
• Perda financeira pela inacessibilidade de carteira de moeda digital (Bitcoin, Litecoin etc.);
• Danos à imagem da organização.

Solução /  Mitigação

Recomendações preventivas:

• Manter atualizados o sistema operacional e demais softwares

Microsoft TechNet - Práticas recomendadas de segurança


• Configure seu sistema operacional para exibir a extensão de arquivos evitando que um usuário, inadvertidamente, clique em um executável com o nome “fotos.jpg.exe”

Microsoft Windows - Mostrar ou ocultar as extensões de nome de arquivo


• Desativar o serviço RDP (Remote Desktop Protocol). Algumas variantes de ransomware utilizam o protocolo RDP para disseminação do Malware

Microsoft TechNet - Habilitar ou desabilitar a Área de Trabalho Remota


• Limitar o acesso de usuários a compartilhamentos de rede

Windows Server - Limitando direitos de usuário

Microsoft TechNet - Limitar o número de usuários de um recurso compartilhado


• Limitar o privilégio de usuários para instalar e executar programas no computador. Estabelecer uma lista-branca de programa permitidos é uma medida bastante restritiva, mas eficaz

Microsoft TechNet - Guia passo a passo do controle de conta de usuário do Windows


• Realizar manualmente a sincronização de arquivos na nuvem, especialmente para serviços que não oferecem o recurso de versionamento

Google Drive

OneDrive

Dropbox


• Não ativar a execução de macros em documentos do Word, Excel e similares

Suporte Office - Habilitar ou desabilitar macros nos documentos do Office


• Realizar cópias de segurança (backups) periodicamente e manter, pelo menos, uma cópia off-line


• Desativar a execução automática em mídias e pendrives

Microsoft Windows - Mudar configurações de Reprodução Automática


• Não executar programas nem clicar em links de fontes desconhecidas, seja em sites ou mensagem de e-mail


• Ative o recurso de Cópia de Sombra de Volume (Volume Shadow Copy) se estiver disponível para o seu sistema operacional

Windows Server - Habilitar e configurar cópias de sombra de pastas compartilhadas


• Utilize regularmente o recurso de snapshot em máquinas virtuais e storages que suportem este recurso

Windows Server - Sobre snapshots de máquina virtual


• Utilize um bloqueador de pop-ups (Ad-block)

Microsoft Central de Proteção e Segurança - Pop-Ups


• Certificar-se que um ponto de restauração do sistema foi criado antes de instalar qualquer software.

Microsoft Windows - Criar um ponto de restauração do sistema

Recomendações reativas:

• Desativar imediatamente a conexão com a rede, inclusive Wi-Fi;
• Realize uma varredura completa com o software antivírus;
• Não pague pelo desbloqueio do computador ou recuperação de seus arquivos. Além não ter nenhuma garantia de obter de volta o acesso, esta medida incentiva a prática dos criminosos;
• Utilize o recurso de Recuperação do Sistema para reaver um estado sadio do sistema operacional;
• Altere o relógio da BIOS para evitar que o prazo de pagamento do “resgate” seja alcançado antes que as medidas de recuperação possam ser tomadas.