O guia definitivo para evitar ataque do ransomware, o sequestrador digital
O ransomware é uma espécie de malware que opera como um “sequestrador digital”. Após instalado, o vírus codifica os dados do sistema e bloqueia o acesso dos usuários. Uma notificação surge na tela informando que o resgate dos arquivos só será feito mediante o pagamento exigido.
Apesar de toda a conscientização que existe hoje a respeito de uma possível contaminação de um vírus em computadores pessoais e máquinas corporativas, as invasões digitais ainda são bastante frequentes — e a cada dia mais perigosas.
Uma das pragas mais preocupantes e temidas pelos setores de TI das corporações e instituições é o ransomware, que pode provocar danos irreversíveis para a empresa, tanto operacionais quanto financeiros.
Além de correr o risco de perder todos os arquivos existentes no computador ou mesmo na rede inteira em um ataque do ransomware, as atividades da corporação podem ser afetadas e até paralisadas durante dias.
O prejuízo financeiro também é iminente, já que se exige o pagamento de um determinado valor, geralmente em bitcoin, para a recuperação dos arquivos. Mesmo assim, nada garante que, ao efetuar o resgate, os dados sejam restaurados.
Ainda, novas versões do vírus podem roubar senhas e carteiras virtuais, o que provoca uma extensão ainda maior do problema ocasionado por uma invasão.
Diante disso, é muito importante que a empresa tome medidas preventivas para evitar um ataque. A equipe de TI deve ficar vigilante às ameaças e manter todos os programas e softwares atualizados, além de realizar backups constantes e lançar mão de recursos tecnológicos que garantem a segurança dos dados, como a computação em nuvem, por exemplo.
Outra ação importante que a empresa deve tomar é conscientizar seus funcionários e colaboradores sobre o uso da rede corporativa. Orientar os trabalhadores sobre o uso do e-mail, acesso às redes sociais, visitas a sites, entre outras operações, é uma forma de prevenir a invasão do vírus.
Ainda, é fundamental que a equipe de TI ofereça o suporte necessário aos colaboradores diante de situações que podem servir como porta de entrada para o ataque.
Mesmo a simples instalação de um plug-in no navegador deve ser monitorada, já que o usuário pode cometer alguns deslizes, como baixar um arquivo malicioso ou efetuar uma instalação incorretamente.
Neste post, vamos esclarecer o que é o ransomware e como ele se propaga e age no sistema. Além disso, também vamos instruir como evitar o ataque e garantir a segurança dos dados e arquivos da sua empresa. Confira!
Saiba o que é ransomware
O ransomware é uma espécie de malware que opera como um “sequestrador digital”. Após instalado, o vírus codifica os dados do sistema e bloqueia o acesso dos usuários. Uma notificação surge na tela informando que o resgate dos arquivos só será feito mediante o pagamento exigido.
Para aumentar a pressão, alguns ransomwares ainda determinam um prazo para o pagamento. À medida que o contador na tela se aproxima do zero, a praga elimina os arquivos.
Descubra como o ransomware se propaga
Existem diversos meios para a propagação do vírus. Sites maliciosos e links suspeitos costumam ser os principais veículos para a instalação do ransomware.
Geralmente, o usuário é atraído a clicar em um link recebido por e-mail ou divulgado nas redes sociais. A mensagem pode incluir alertas inverídicos, como o pagamento de uma dívida não existente, promoções, noticiais sensacionalistas, entre outros.
A praga também pode ser instalada no computador por meio de anúncios de jogos, aplicativos e até softwares de antivírus falsos. Nesses casos, o usuário efetua o download e a instalação do ransomware achando que está, na verdade, obtendo um produto ou ferramenta de forma gratuita.
Muitas vezes, o malware é enviado por e-mail em nome de uma empresa, organização ou instituição de renome. Com um nome forte por trás da fraude, o usuário está mais propenso a ser ludibriado pelo esquema. Essa tática foi utilizada em 2016 para disseminar o ransomware Locky, que teve como alvo milhões de usuários e clientes da companhia Amazon.
Entenda como o ransomware age
Depois que o usuário é atraído pelo ransomware e faz o download do arquivo, inicia-se a codificação dos dados em segundo plano, sem que ninguém perceba. Após a contaminação, o malware executa a ação impeditiva, que vai bloquear o sistema ou um conjunto de arquivos.
A forma como ele foi escrito e os recursos explorados é que vão definir essa execução. Por exemplo, o ransomware pode detectar uma falha de segurança que possibilita a troca de senha do sistema. Nesse caso, a vítima é notificada e deve realizar uma ação específica — como realizar o pagamento exigido — para voltar a ter acesso.
Outra forma de impedir a entrada é instalando um software que exibe uma tela de bloqueio. Os dados e arquivos permanecem no sistema, porém ficam inacessíveis.
Se os servidores ou os sistemas corporativos são afetados, a situação é ainda mais grave. Isso porque todos os colaboradores da empresa ficam impedidos de acessar o sistema, o que pode comprometer as operações da empresa.
Esse fato é o que leva muitas organizações a efetuarem o pagamento como forma de obter uma solução imediata, mesmo sem a garantia da recuperação dos arquivos.
Aprenda como evitar ataque do ransomware
A melhor forma de evitar prejuízos com um ataque do ransomware é adotando medidas preventivas para que a invasão não ocorra. Veja abaixo as melhores práticas que devem garantir a segurança digital da corporação:
Mantenha uma cópia dos seus dados em backup
Essa ação não impedirá um ataque do ransomware, mas certamente a invasão não terá um efeito tão devastador caso a empresa tenha um backup dos seus arquivos. Afinal, o responsável pela ação não terá vantagem sobre a empresa, já que seu argumento de chantagem é inválido.
Por isso, é importante manter os dados armazenados em drives externos, nuvens e softwares.
Entretanto, vale ressaltar que mesmo drives externos podem sofrer ataques do ransomware. Além disso, arquivos salvos na nuvem também não estão completamente seguros, já que o malware pode criptografar os arquivos salvos nela.
Por isso, é importante ter mais de um backup e cuidar para que que cada vez que o procedimento for realizado o drive externo seja desconectado da máquina.
Fique atento aos e-mails
Conforme explicamos, uma das portas de entrada mais comuns para o vírus são os e-mails. É importante consultar a procedência das mensagens e ficar atento ao remetente.
Domínios alternativos, grafia incorreta, uso de caracteres especiais e outros elementos que constituem o endereço de e-mail já são motivo de alerta.
Prestar atenção ao texto do corpo do e-mail também é importante, já que algumas inconsistências podem ajudar a revelar mensagens mal intencionadas.
Também é importante filtrar as extensões “.exe” dos e-mails, caso seu gateway ofereça essa possibilidade. Se os colaboradores da empresa tiverem que, eventualmente, enviar e receber arquivos dessa natureza, essa ação pode ser feita por meio de outros mecanismos, como serviços de nuvem e arquivos comprimidos (ZIP).
Eduque os usuários para os casos de phishing
“Phishing” (ou “pescaria”, em português”), como o nome sugere, é a prática de “pescar” informações de usuários, como senhas e dados pessoais, por meio de links maliciosos, anexos, sites, entre outros. Alertar os colaboradores da empresa a respeito dessas práticas é uma importante conduta de prevenção.
Para isso, oriente os funcionários a respeito das melhores práticas de navegação e uso do e-mail dentro do ambiente corporativo. Disponibilizar tutoriais e treinamentos também é uma forma de conscientizar os usuários a respeito dessas armadilhas.
É muito importante que a equipe de TI participe desse processo. Os profissionais capacitados poderão dar instruções mais específicas e fornecer suporte na eventualidade de qualquer atividade suspeita.
Assim, todos os trabalhadores cooperam na identificação de phishing, evitando maiores riscos à segurança digital da empresa.
Seja adepto da computação em nuvem
A computação em nuvem é um mecanismo utilizado para diversas finalidades, entre elas:
- desenvolvimento de aplicativos e serviços;
- armazenamento de dados;
- hospedagem de sites;
- transmissão de mídia;
- fornecimento de software;
- análise de dados.
Esse sistema permite que profissionais possam realizar desde tarefas básicas até projetos complexos utilizando apenas uma conexão na internet. Assim, todo trabalho é salvo na nuvem e pode ser acessado de forma remota — o que permite, inclusive, que o funcionário possa acessar seus documentos de qualquer lugar do mundo.
Além de oferecer segurança, esse sistema também traz uma série de outros benefícios para a empresa:
Redução de custos: a computação em nuvem dispensa alguns investimentos em hardware e software. Além disso, também não exige a instalação, execução e manutenção de datacenters locais;
Mais velocidade: os serviços de computação em nuvem oferecem ferramentas capazes de fornecer soluções ágeis;
Escala global: a capacidade de dimensionamento elástico fornece a quantidade exata de recursos de TI, como energia de computação, largura de banda e armazenamento;
Aumento da produtividade: a computação em nuvem permite otimizar tarefas, de modo que as equipes de TI possam direcionar seus esforços para outras soluções e melhorias dentro da empresa;
Melhora de desempenho: os datacenters que executam os serviços de computação em nuvem são atualizados com frequência e oferecem tecnologias avançadas que garantem um desempenho mais rápido e eficiente
Controle o acesso
Limitar o acesso à rede e equipamentos da empresa estritamente aos funcionários é uma boa forma de evitar ameaças ao sistema. Oriente os funcionários a não acessarem contas pessoais dentro da empresa, tampouco a utilizarem suas máquinas de trabalho fora do ambiente corporativo. Essa exposição pode trazer riscos para a segurança dos dados da organização.
Atualize seus softwares
Um dos mecanismos de propagação do ransomware é por meio de notificações falsas de atualização de softwares, sistemas e ferramentas. Por isso, é importante manter esses recursos atualizados, de modo a evitar ações equivocadas.
Além disso, é preciso verificar se o antivírus adequado para cada máquina e sistema operacional foi corretamente instalado e atualizado.
A equipe de TI também deve orientar os colaboradores da empresa a jamais realizarem uma atualização sem o suporte de um profissional, já que essa conduta pode colocar em risco a segurança digital da empresa.
Utilize o “Restaurar Sistema” para retornar a um estágio pré-ransomware
Em alguns casos, o sistema pode retornar ao estágio pré-ransomware se a função Restaurar Sistema estiver habilitada no Windows.
Porém, alguns malwares são capazes de excluir os arquivos necessários para a restauração. A medida, apesar de não ser 100% garantida, é um recurso importante para evitar maiores prejuízos com a fraude.
Conheça alguns tipos de ransomware
Existem diversos tipos de malware e, com o compartilhamento excessivo de informações na internet (principalmente por meio das mídias sociais), as empresas estão ainda mais suscetíveis ao ataque do ransomware.
Além disso, essa atividade criminosa foi aos poucos aprimorada, de modo que o sistema ficasse mais frágil à instauração do sistema. Abaixo, listamos algumas das pragas mais comuns do universo digital:
O ransomware brasileiro
Em janeiro de 2016, pesquisadores da Kaspersky Lab descobriram um malware que imitava um aviso de atualização do Adobe Flash Player, um plug-in utilizado nos navegadores que permite a reprodução de arquivos multimídia.
Por se tratar de um recurso necessário e amplamente utilizado, a fraude parecia algo crível e autêntico, fator que atraiu cliques de clientes distraídos.
A partir da instalação do ransomware, os criminosos recebiam acesso à máquina e poderiam “sequestrar” as informações do sistema, exigindo um pagamento de R$ 2 mil em bitcoins para o resgate — caso contrário, os arquivos seriam deletados.
O ransomware no Mac OS X
No mesmo ano em que foi descoberto o ransomware brasileiro, a empresa Palo Alto Networks detectou o primeiro ransomware criado para o sistema operacional Mac OS X. Denominado Key Ranger, o vírus contaminou algumas máquinas através do programa Transmission BitTorrent.
Em apenas 3 dias, o malware consegue criptografar o sistema e sequestrar os arquivos — da mesma forma como ocorre com outros ransomware.
A recomendação é que o usuário fique atento ao arquivo kernel_service no monitor de atividades do sistema operacional: se estiver ativo, o ideal é fazer uma restauração para uma versão anterior em um backup.
A Transmission Project lançou a versão 2.92 do Transmission BitTorret para solucionar a questão. Essa atualização, segundo os desenvolvedores, exclui os arquivos contaminados do Mac.
O ransomware mais perigoso
Um ataque do ransomware é sempre algo preocupante, mas existe um tipo que pode ser ainda mais alarmante para as empresas. É o MSIL/Samas, um vírus capaz de atingir redes inteiras, e não apenas as máquinas individualmente.
De acordo com a agência Reuters, os criminosos responsáveis pela invasão utilizam um programa de segurança disponível ao usuário para identificar se há versões vulneráveis do software Jboss. Em seguida, inicia o ataque.
Saiba se é possível eliminar um ransomware
Eliminar um ransomware após o bloqueio beira o impossível, já que o usuário está impossibilitado de acessar o sistema. Por isso, é importante tomar medidas preventivas para evitar o ataque.
Manter o antivírus atualizado e realizar buscas regulares no sistema para detectar a presença de malwares é uma medida eficaz para evitar a contaminação das máquinas da empresa.
Além disso, manter os dados armazenados em local seguro e backups atualizados também é uma forma de amenizar os danos no caso de um ataque, já que não haveria perda substancial de dados e informações para a empresa.
Conheça alguns casos de ataques do ransomware
Muitas organizações tiveram suas operações estagnadas diante de uma contaminação. Em 2016, 2 centros médicos nos Estados Unidos sofreram graves ataques do ransomware.
Em fevereiro, o Centro Médico Presbiteriano de Hollywood ficou mais de uma semana com as atividades comprometidas em função da contaminação da rede pela versão Locky. O FBI foi acionado, mas, devido à urgência e gravidade do caso, a organização optou por efetuar o resgate, no valor de 40 bitcoins — na época, US$ 17 mil.
O Hospital Metodista de Kentucky também teve suas operações afetadas por uma fraude. Porém, o centro médico não precisou efetuar o pagamento de resgate na ocasião. A rede foi desligada, corrigida e restaurada a partir de um backup.
Mesmo sem prejuízos significativos, o hospital ainda teve suas atividades prejudicadas por 5 dias.
Nas duas situações, a suspeita foi de que um dos funcionários teria recebido um arquivo comprometido por e-mail. Meses depois, outros estabelecimentos do mesmo nicho também foram impactados por ataques semelhantes, o que indica que o segmento é um alvo para os criminosos.
Isso porque, com a pressão cotidiana nos ambientes hospitalares, as organizações são forçadas a agir rapidamente — levando-as, portanto, a realizar o pagamento para o resgate.
Entenda o histórico dia 12 de maio para o ransomware
No dia 12 de maio de 2017, sexta-feira, um ataque do ransomware denominado WannaCrypt infiltrou os sistemas de empresas privadas e serviços públicos no mundo todo.
No Brasil, o Tribunal de Justiça de São Paulo, Ministério Público de São Paulo e INSS foram afetados pelo malware, assim como o Serviço Nacional de Saúde da Inglaterra, Telefónica, KPMG e milhares de outras organizações. Estima-se que cerca de 200 mil máquinas foram afetadas em pelo menos 150 países.
A invasão foi feita por hackers internacionais que encontraram uma vulnerabilidade nas versões antigas do Microsoft Windows. Porém, a correção do sistema operacional havia sido realizada em março e os computadores contaminados não haviam feito a atualização, conforme recomendado pelas cartilhas de segurança.
O WannaCrypt aproveitou a falha das máquinas que não haviam realizado a atualização e criptografou os dados dos equipamentos afetados, bloqueando o acesso dos usuários.
Após a ação, as vítimas foram orientadas a efetuar o resgate no valor de aproximadamente US$ 300 em bitcoin, o que dificultou a identificação dos criminosos, já que a moeda virtual permite que os hackers tenham diversas carteiras.
O ataque foi interrompido acidentalmente por um pesquisador e engenheiro de segurança da informação no Reino Unido, apelidado de Malware Tech. A propagação foi cessada depois que o pesquisador encontrou o domínio não registrado associado ao ataque e adquiriu o endereço, pelo valor equivalente a aproximadamente R$ 35. Assim, foi possível ativar um mecanismo de pausa que impediu o WannaCrypt de continuar o ataque.
Confira as melhores práticas antivírus
O ransomware não é o único tipo de ataque ao qual as empresas estão suscetíveis. Outros malwares também podem se infiltrar no sistema e afetar as atividades da organização por meio de outros mecanismos.
Porém, essa praga pode causar danos irreversíveis para a empresa caso ela não esteja preparada para uma invasão, provocando, principalmente, prejuízos operacionais e financeiros.
O primeiro passo para evitar um ataque do ransomware parte da equipe de TI, que deve manter todos os softwares e programas instalados nas máquinas devidamente atualizados. Isso evita que a praga encontre vulnerabilidades no sistema e se infiltre por esse meio.
Manter backups atualizados em drives externos e na nuvem também são boas práticas de prevenção. Assim, caso o ransomware se propague nas máquinas e bloqueie o acesso dos usuários, a empresa pode simplesmente restaurar os seus dados. Isso evita o pagamento do resgate, bem como o incentivo à prática criminosa.
Outra forma de garantir a integridade dos arquivos é aderindo à computação em nuvem. Esse sistema, além de oferecer mais segurança, também fornece outros benefícios para a empresa, como redução de custos, aumento da produtividade e melhora do desempenho.
Orientar os funcionários é outra medida fundamental para evitar um ataque. Para isso, é importante realizar treinamentos que eduquem os colaboradores a respeito de fraudes.
Além disso, algumas condutas devem ser evitadas dentro do ambiente corporativo, como o acesso a e-mails pessoais, redes sociais, sites de entretenimento, entre outras. Essa medida limita o exposição do usuário aos riscos de uma contaminação.
Oferecer suporte também é uma medida importante e eficaz na prevenção de um ataque viral. Isso porque o usuário recebe a orientação correta na hora de baixar arquivos ou instalar ferramentas na sua máquina.eu faço b
A assistência pode ser feita de diversas formas, tanto de remota como presencialmente. Tudo dependerá da complexidade exigida na ação. Por isso, é importante que a equipe de TI desenvolva procedimentos específicos para para cenário.
Além de otimizar a produtividade da equipe, os riscos de uma contaminação são mitigados.
Lembre-se de que um ataque do ransomware não pode ser revertido, já que o acesso é bloqueado, impedindo, portanto, que os arquivos contaminados sejam deletados.
As únicas saídas para a exclusão permanente dos dados da empresa são ou efetuar o pagamento do resgate — o que não é recomendado —, ou a restauração do sistema utilizando um backup.
E aí, ficou com alguma dúvida sobre o ransomware? Sua empresa já sofreu com uma situação dessas ou algo semelhante? Deixe o seu comentário no post!
