Ransomware: o ataque da moda

De acordo com Ronaldo Hayashi, Security Officer e Compliance da Honda Serviços Financeiros, conscientização dos usuários é uma das tarefas mais importantes e árduas, especialmente com a disseminação de ataques de sequestro de dados

Por: Ronaldo Hayashi, ⌚ 19/04/2017 às 18h16 - Atualizado em 20/04/2017 às 18h27

Atualmente muito se fala de Ramsomware. Foi em 2016 e será em 2017 um dos trend topics na área de CyberSecurity. Inclusive temos as colunas de nossos colegas Renato Opice Blum e Rafael Narezzi como exemplos.

 

Este artigo tem como objetivo focar principalmente em nosso dia-a-dia na prevenção e contramedidas se o ataque já foi concretizado.

 

Prevenção

 

  • Conscientização de usuários: Tarefa mais árdua e importante em um processo de segurança da informação efetiva, tanto para casos de phishing, quanto ransomware e outras ameaças. É altamente recomendável instruir os colaboradores sobre os aspectos de navegação segura (que reflete inclusive na vida pessoal). Abaixo relaciono algumas dicas:

 

 

  • Ao passar o mouse sobre o link, verifique na barra de status se o link aparenta ser confiável. Vale também em clientes de email. Na dúvida não clique.

 

  • Cadeados de sites seguros (https): Não são garantia de segurança. Veja 2 sites com links aparentemente iguais.

 

 

Ambos aparentam ser da Apple e possuem o cadeado de segurança, porém um deles é falso. Vide abaixo.

 

 

O primeiro é falso, verifique que a empresa emissora não parece ser confiável. Explico em próximo artigo.

 

  • Atualizações de Softwares: Fundamental a utilização de softwares e antivírus atualizados, para o ambiente Windows, a Microsoft disponibiliza gratuitamente o MBSA 2.3, para verificação do Baseline de Segurança. Por incrível que pareça é muito comum o descaso neste item.

 

 

  • Backup off-line: Tenha sempre um backup com proteções e que não esteja no mesmo canal de comunicação do equipamento atacado. Adicionalmente é recomendável um backup off-line das informações mais sensíveis.

 

  • Política de segurança: Implemente e teste periodicamente as rotinas de backup, verifique (caso aplicável) os isolamentos entre os dispositivos e acessos com diferentes níveis de acesso.

 

  • Senhas: Quando possível criptografar a senha e nunca deixá-los abertos em códigos de programas ou em diretórios do próprio servidor. O site https://howsecureismypassword.net/ indica a complexidade em tempo real.

 

 

Contra-medidas

 

Normalmente os antivírus possuem assinaturas que identificam as ferramentas de ataques e bloqueiam a execução, mas se esta barreira foi quebrada devemos efetuar as etapas a seguir.

 

Verificar no site https://www.nomoreransom.org/ se a ferramenta de criptografia tem seu “decryptor”.

 

 

Até a data de publicação dessa coluna, já estão disponibilizadas contramedidas para:

 

Rakhni Decryptor (updated 2-3-2017 with Dharma)

Rannoh Decryptor (updated 20-12-2016 with CryptXXX v3)

Cry9 Decryptor

Damage Decryptor

Crypton Decryptor

Merry X-Mas Decryptor

BarRax Decryptor

Alcatraz Decryptor

Bart Decryptor

Crypt888 Decryptor

HiddenTear Decryptor

Noobcrypt Decryptor

CryptoMix Decryptor

Popcorn Decryptor

Marlboro Decryptor

GlobeImposter Decryptor

MRCR Decryptor

Globe3 Decryptor

Derialock Decryptor

PHP Ransomware Decryptor

WildFire Decryptor

Chimera Decryptor

Teslacrypt Decryptor

Shade Decryptor

CoinVault Decryptor

Jigsaw Decryptor

TM Ransomware File Decryptor

NMoreira Decryptor

Ozozalocker Decryptor

Globe Decryptor

Globe2 Decryptor

FenixLocker Decryptor

Philadelphia Decryptor

Stampado Decryptor

Xorist Decryptor

Nemucod Decryptor

Gomasom Decryptor

Linux.Encoder Decryptor

 

Caso a ferramenta de criptografia não esteja na lista acima (por se tratar de uma nova variante), recomendo um fórum da comunidade. No entanto em casos extremos, na qual aceite pagar o resgate da chave mestre (não recomendável), saiba que os hackers BlackHat, normalmente cumprem o que prometem, pois em um eventual não cumprimento do “acordo” a informação será disseminada e por consequência cessará os demais resgates por perda de credibilidade. Isso realmente não é interessante para o atacante, como em qualquer comércio.

 



Newsletter

Graça Sermoud
Marcos Semola
Ronaldo Hayashi
Joaquim Garcia

/ VEJA TAMBÉM



/ COMENTÁRIOS