Académique Documents
Professionnel Documents
Culture Documents
proteo contra
ransonware
Lnx-IT Informao & Tecnologia
O que ransonware?
O que ransonware?
Ransonware um tipo de malware que restringe o acesso sistemas operacionais, dados em disco e volumes
de rede atravs de compactao e criptografia alta seguida de excluso dos dados originais. Ele principalmente
distribudo atravs SPAM. So e-mails ligados a assuntos financeiros, contbeis, bancrios, governamentais e
recursos humanos. A infeco tem incio quando o usurio abre um anexo ou segue um link malicioso, ento
seus dados so sequestrados. Minutos aps, enviado um e-mail para a vtima solicitando um pagamento em
Bitcoins para restaurao das informaes. Quando o pagamento efetuado o atacante desaparece sem deixar
rastros.
Nunca antes na histria da humanidade houveram crimes de extorso em larga escala como vistos hoje. Nos
ltimos anos, o uso da internet, computadores e dispositivos mveis explodiu e junto com esse crescimento
surgiram pragas com alto poder de destruio e novos crimes cibernticos de extorso.
Hoje, o ransonware emergiu como uma das categorias de malware mais perigosas j detectadas e representa
um grande desafio para os fabricantes de solues de antimalware e empresas que precisam se proteger. Esta
categoria de malware est em constante evoluo e aprimoramento do seu cdigo, e novas verses so
lanadas diariamente.
Evoluo do ransonware
Evoluo do ransonware
Os primeiros casos de ransonware tiveram incio no ano de 2013 na Rssia. Em 2015, casos de grande gravidade
foram registrados em outros pases tais como: Estados Unidos, Frana, Alemanha, Holanda, Dinamarca, Itlia,
Japo e Romnia. Eles contabilizaram um prejuzo de 350 milhes de dlares.
Entre 2013 e 2014, houve um aumento de 250% de novas famlias crypto-ransonware. Atualmente, estas novas
famlias esto em franca expanso e novas verses esto sendo lanadas diariamente.
No Brasil os primeiros casos foram observados em 2014. Em 2015 a houve uma considervel expanso no
nmero de casos e em 2016 chegamos nmeros recordes de infeco. Atualmente, o Brasil recebe 29% dos
ataques globais.
Os fabricantes de antivrus aliados aos orgos de segurana de cada pas esto trabalhando em parceria para
identificar e punir estes desenvolvedores de malware em todo mundo. J foram efetuadas prises na Alemanha,
Hollanda, Reino Unido e Espanha. Fabricantes de antivrus como a BitDefender, esto engajadas na
investigao. O FBI e Interpol esto coordenando os esforos da fora tarefa. Atualmente os ataques de
ransonware esto sendo tratados como atos de terrorismo e so uma prioridade.
Evoluo do ransonware
Um estudo conduzido pela BitDefender em novembro de 2015, junto a 3.000 usurios de internet revelou
dados preocupantes sobre a progresso da infeco:
50% dos entrevistados foram infectados com ransonware.
A metade das vtimas pagou cerca de 500 dlares para recuperar seus dados.
Entre os maiores pagadores esto o Reino Unido e os Estados Unidos.
32% dos usurios no infectados acha que no possvel infectar-se.
O maior alvo atualmente os Estados Unidos onde 13.1 milhes de habitantes so visados.
Evoluo do ransonware
A principal razo da expanso deste malware o alto percentual de vtimas que arriscam pagar para ter seus
dados restaurados. Este comportamento tem sustentado e impulsionado a expanso da infeco no mundo.
Evoluo do ransonware
As famlias de ransonware tiveram uma evoluo rpida, passando de aplicaes simples a complexas em
poucos meses. Elas tornaram-se sofisticadas, inteligentes e mltiplataforma, passando a atacar PCs e servidores
com Windows, Linux, MAC e Unix e dispositivos mobile com IOS e Android.
Classes de ransonware
Classes de ransonware
Basicamente existem dois tipos de ransonware em circulao:
Device lockers: Este tipo de ransonware bloqueia a tela do dispositivo e exibe uma imagem em tela cheia que
impede o acesso ao dispositivo. A mensagem exige o pagamento de resgate, mas os arquivos pessoais no so
criptografados. Este tipo de ransonware muitas vezes apresentado como uma mensagem da polcia ou como
um falso antivrus (Fake AV). Os primeiros casos de Fake AV foram documentados no ano de 2009.
Crypto-ransonware: Compacta e encripta arquivos e pastas localizados no disco local, unidades de rede,
caminhos UNC lembrados pelo Windows e mdias removveis conectadas.
Em casos de crypto-ransonware onde os arquivos foram encriptados com criptografia forte, eles no podem
ser recuperados e precisam ser restaurados a partir do backup. J existem algumas ferramentas de restaurao
de terceiros para variantes e verses especficas, mas isto cobre apenas uma parcela nfimia da populao de
ransonware. (Ex: TeslaCrypt, Petya, Cryptolocker).
O usurio atacado por um crypto-ransonware ir observar aumento no consumo de CPU, memria e I/O. Em
alguns casos, dependendo da rea encriptada, o sistema pode travar. O malware do tipo cryto-ransonware se
auto-destri aps encriptar os arquivos e no deixa rastros.
Tipos de ransonware
A ao destes dois tipos de malware exemplificada abaixo:
Ransonwares conhecidos
2
Arquivos encriptados
com chave AES
Download de chave
RSA pblica de
servidor escondido
na nuvem
Casos de ransonware
Holanda:
ransonware Locky faz vtimas na Alemanha e nos Pases Baixos
Mais e mais casos de ransonware em Pases Baixos
Aumento de cripto ransonware nos Pases Baixos
NASA
Departamentos de polcia diversos
Kentucky Methodist Hospital,
Chino Valley Medical Center
Desert Valley Hospital
Kentucky Methodist Hospital
Hollywood Presbyterian Medical Centre
Kansas Heart Hospital
Maryland Hospital
Syracuse University
Delaware University
Alemanha:
Protegendo-se de ransonware
Protegendo-se de ransonware
A proteo contra ransonware se d em camadas. Voc deve estabelecer diversos tipos de segurana em sua
empresa a saber:
Gateway de borda
(Firewall, Proxy, Filtro de contedo e AV)
Gateway de correio
(Antispam, antivrus, antiphishing)
VLANs, DMZ & restries de rede
(Impedir trfego no autorizado e livre acesso)
Soluo de disaster recovery, backup & DLP
(Servidores fsicos ou virtuais, estaes e mobile)
Soluo de antimalware
(Servidores fsicos ou virtuais, estaes e mobile)
Atualizaes de sistema & aplicativos
(Navegadores, plug-ins e aplicativos)
Protegendo-se de ransonware
A proteo contra ransonware se d em camadas. Voc deve estabelecer diversos tipos de segurana em sua
empresa a saber:
1. Manter os sistemas operacionais e navegadores atualizados: Manter os sistemas operacionais e navegadores
atualizados corrige vulnerabilidades usadas por certas variantes de ransonware. Esta afirmao vale para
sistemas Windows, Linux, MAC, Unix e dispositivos com IOS e Android.
A Microsoft recomenda a implementao do WSUS. O servidor do WSUS fornece os recursos necessrios aos
administradores para gerenciar e distribuir atualizaes do Windows e outros produtos por meio de um console
de gerenciamento centralizado.
Protegendo-se de ransonware
2. Mantenha seu antivrus atualizado e configurado para agressividade mxima: BitDefender GravityZone pode
identificar sites, e-mails e arquivos infectados com ransonware, logo garanta que seus agentes estejam
atualizados e que suas polticas de segurana sejam agressivas. No deixe nenhum computador sem antivrus.
Protegendo-se de ransonware
3. Restrinja o acesso a seus compartilhamento: Evite que todos os usurios da empresa possam acessar todos os
seus compartilhamentos livremente. Atribua permisses de acesso eles. Se voc tem muitos departamentos ou
setores em sua empresa, separe seus compartilhamentos por setor ou departamento e restrinja o acesso aos
funcionados que trabalham nele e diretores.
Protegendo-se de ransonware
4. Implementar uma estratgia de disaster recovery ou backup: Este o meio de defesa mais recomendado e
seguro. Voc deve realizar imagens de disco ou backup de dados diariamente.
Acronis e Paragon fornecem solues de disaster recovery, backup e restore com gerenciamento centralizado
na nuvem ou local. Os produtos permitem criar imagens ou backups sem necessidade de parada de aplicativos,
bases de dados, servios e outros. Eles fornecem proteo para ambientes fsicos ou virtuais.
Protegendo-se de ransonware
Implementar uma estratgia de data loss prevention (DLP) uma estratgia que garante a perda de informao.
O CosoSyS Endpoint Protector atua proteo de dados sensveis, impedindo o vazamento, manipulao e
prevenindo perdas. Voc controla dispositivos fsicos, virtuais e mobile em um nico console.
Protegendo-se de ransonware
5. Replicar backups: Voc precisa estar atento a possibilidade de que o ransonware ataque seus backups. Logo,
recomenda-se replicar seus backups para um segundo local seguro. A Acronis recomenda a estratgia de
backup 123 e oferece solues para implementar este cenrio.
Backup ou imagem
Armazenamento local
centralizado
ARQUIVO
BACKUP
Protegendo-se de ransonware
6. Exportaes de bases de dados: Malwares do tipo ransonware podem encriptar seus arquivos de banco de
dados. Neste contexto, fundamental realizar exportaes regulares de sua base de dados. Estas exportaes
geram um arquivo contento toda estrutura do banco de dados e as informaes contidas no mesmo.
Protegendo-se de ransonware
7. Segurana de gateway de borda: Usar um gateway de borda com firewall, proxy, controle de contedo e
antivrus para bloquear todo tipo de trfego imprprio.
Voc tambm pode usar a funo Content Control do BitDefender GravityZone para coibir acessos sites HTTP
e HTTPS imprprios em suas estaes de trabalho.
Firewall
Proxy
Content Control
Antivrus
Protegendo-se de ransonware
8. Segurana de e-mail: Um dos principais meios de distribuio de ransonware o e-mail. Se sua empresa
possui um servidor de correio importante utilizar um bom antivrus, antiphising, antispam, estabelecer
polticas de controle de anexos e educar o antispam diariamente.
Firewall
Filtragem de SPAM,
malware e phishing
Servidor de correio
Protegendo-se de ransonware
9. Segurana de servidores de web: Se a sua empresa hospeda o
prprio site e voc possui formulrios para envios de arquivo
restrinja o tipo de arquivo a ser gerado.
Em servidores FTP tambm aplique restries de upload para
arquivos contendo extenses perigosas.
Garanta tambm que se servidor web e FTP esto protegidos por
uma soluo de antimalware.
Protegendo-se de ransonware
10. Windows Explorer deve mostrar as extenses de arquivos: Configure o Windows Explorer para mostrar as
extenses de arquivos. Oriente seus funcionrios a estarem atentos para extenses perigosas documentadas
neste artigo da Microsoft: Reconhecendo tipos de arquivos perigosos
Protegendo-se de ransonware
11. Segmentao de redes: Segmentar redes por departamento ou setor criando VLANs isoladas ajuda a evitar a
propagao de infeces e oferece mais controle ao administrador.
Restringir acesso dos usurios de cada departamento apenas aos dados e aplicativos concernentes sua funo
outra medida importante.
Protegendo-se de ransonware
12. Educar os usurios: Esta a medida mais importante. Os usurios finais precisam aprender a identificar os
seguintes comportamentos. Oriente-os a realizar as seguintes prticas:
Identificar se o remetente confivel e conhecido.
Identificar e-mails com anexos tem uma extenso maliciosa ou no.
Identificar e-mails com links maliciosos.
Identificar e deletar mensagens contendo fraudes, phishing, malware ou spam.
Identificar mensagens suspeitas em mensageiros instantneos (Whatsapp, Skype e outros).
Identificar mensagens e links maliciosos em redes sociais.
Identificar sites fraudulentos.
Evitar ao mximo acessos drives na nuvem (Google Drive, Dropbox e outros).
Refletir e analisar antes de abrir ou clicar em links.
Navegar somente em locais seguros ou conhecidos.
No usar ferramentas P2P na empresa.
Protegendo-se de ransonware
13. Bloqueie dispositivos no confiveis: Ransonware e outros malwares podem entrar em sua rede atravs de
pendrives, smartphones, cmeras, mp3 e outros dispositivos. Bloqueie dispositivos de armazenamento de dados
e desligue o autorun.
Bloqueie o uso destes dispositivos usando o controle de dispositivos do BitDefender GravityZone.
Protegendo-se de ransonware
14. Desative macros do Microsoft Office: Ransonware est sendo distribudo embutido em documentos do
Word e Excel. importante desativar macros na central de segurana e confiabilidade do Microsoft Office.
Protegendo-se de ransonware
15. Bloqueie o autorun: muito importante desativar a execuo automtica do Windows em mquinas onde
voc no est bloqueando dispositivos no confiveis.
Protegendo-se de ransonware
16. Desative Windows Script Host: Se voc no estiver usando scripts VBScript ou JScript considere desativar o
recurso Windows Script Host. Consulte este artigo da Microsoft.
Protegendo-se de ransonware
17. Habite polticas de restrio de software: Os administradores de sistema podem implementar uma GPO
(Group Policy Objects) para bloquear a execuo de softwares a partir de locais especificados. Voc poder criar
politicas de restrio de software para bloquear a ao do Cryptowall, uma das variantes mais perigosas de
ransonware. Crie polticas de restrio de software para estes caminhos:
%USERNAME%\\Appdata\\Roaming\\*.exe
%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\\.*exe
C:\\<random>\\<random>*.exe
%TEMP%\\*.exe
%USERPROFILE%\\Start Menu\\Programs\\Startup\\*.exe
%USERPROFILE%\\*.exe
%USERPROFILE%\\Appdata\\*.exe
%USERPROFILE%\\Appdata\\Local\\*.exe
%USERPROFILE%\\Application Data\\*.exe
%USERNAME%\\Application Data\\Microsoft\\*.exe
%USERNAME%\\Local Settings\\Application Data\\*.exe
%USERPROFILE%\Local Settings\Temp\Rar*\*.exe
%USERPROFILE%\Local Settings\Temp\7z*\*.exe
%USERPROFILE%\Local Settings\Temp\wz*\*.exe
%USERPROFILE%\Local Settings\Temp\*.zip\*.exe
%LOCALAPPDATA%\Temp\Rar*\*.exe
%LOCALAPPDATA%\Temp\7z*\*.exe
%LOCALAPPDATA%\Temp\wz*\*.exe
%LOCALAPPDATA%\Temp\*.zip\*.exe
Protegendo-se de ransonware
18. Use senhas complexas: Senhas fceis podem ser facilmente exploradas por malwares munidos de
capacidades de ataque de fora brutal.
Departamento Comercial
(51) 3331.1446
Departamento de Suporte
(51) 3331.1446
comercial@lnx-it.inf.br
suporte@lnx-it.inf.br