O que é o Ransomware?
Ransomware é um tipo de malware que restringe o acesso ao sistema/dado infectado e cobra um valor de “resgate” para que o acesso possa ser reestabelecido.

 

Como se comportam?

Geralmente utilizam um dos seguintes mecanismos para restringir o acesso ao dado:

  • Infecta o Sistema Operacional, impossibilitando a carga do dispositivo;
  • Criptografam um drive, ou um conjunto de arquivos, ou arquivos com nomes específicos;
  • Algumas versões possuem um “timer” onde começam a excluir os arquivos até que o “resgate” seja pago.

 

Como você pode ser infectado?
O Ransomware pode ser distribuído de várias formas, mas a mais comum é a infecção através de arquivo anexado ao e-mail. Estes tentam se passar por e-mails de instituições confiáveis, como bancos, órgãos governamentais, lojas virtuais, etc, induzindo o usuário a acessar algum link, que consequentemente irá baixar o Ransomware para o seu equipamento.

Mas anexos de e-mail não é o único mecanismo de infecção. Download é outra forma, onde o usuário visita uma página e o malware é baixado e instalado sem o conhecimento do usuário. O Ransomware também vem sendo espalhado através das redes sociais, como aplicações de mensagens instantâneas.

 

Por que a proteção deve ser em camadas?
Porque quem desenvolve o malware constantemente adapta seu código para driblar os filtros e atingir diferentes partes do ambiente de TI. Você pode possuir proteção de gateway para e-mail, por exemplo, mas e se um dos funcionários visitar uma página infectada? Da mesma forma, os hackers estão começando a direcionar seus malwares para a infraestrutura de servidores. Em suma, não existe um único antidoto para prevenir estas ameaças, e sim ações efetivas para mitigar os riscos.

Boas Práticas para Prevenção

Lidar com as consequências de um ataque, pode ser um jogo de azar. O pagamento do resgate pode ser a única opção para reestabelecer o acesso aos dados, mas isto não é garantido, pois o sequestrador nem sempre cumpre com o prometido. Por isto, a utilização de soluções de segurança em camadas contra ameaças avançadas, aliadas a uma abordagem preventiva é o melhor caminho para a proteção.

Realize backup dos dados

Desenvolva um plano de backup regular onde inclua o armazenamento em local isolado. Realize testes frequentes, pois falhas acidentais podem prejudicar a recuperação. Busque de preferência soluções com capacidade de automação, onde você deverá tratar incidências de não conformidade da execução da política definida;

Proteja contra vulnerabilidades de Sistemas Operacionais e aplicações

Blinde servidores e estações de vulnerabilidades através de solução de ``Virtual Patching``, reduzindo a janela de exposição entre o momento da descoberta da vulnerabilidade, criação da correção e aplicação da mesma em seu ambiente;

Divulgue boas práticas de uso

Cibercriminosos distribuem e-mails falsos se passando por lojas on-line, banco e contatos conhecidos, de forma a atrair o usuário a clicar em um arquivo ou link malicioso. Instrua os usuários não abrirem arquivos e URLs, além de alertarem à área de Segurança de TI caso suspeitem de algum conteúdo;

Proteja contra a execução de aplicações não confiáveis

Reduza sua exposição a ataques impedindo que aplicações indesejadas e desconhecidas sejam baixadas executadas em seus endpoints, implantado solução de controle de uso de aplicação com o recurso de Whitelist e Blacklist em profundidade e baseado em comportamento;

Não confie em ninguém

Links maliciosos podem ser enviados pelas redes sociais por amigos, colegas de trabalho ou parceiros de jogos que já foram infectados de alguma maneira;

Segmente sua rede

Crie segmentos seguros de rede. Isto previne que um segmento de rede infectado se comprometa outro com facilidade;

Caso o dispositivo esteja infectado, tente descobrir o nome do malware

Talvez seja uma versão antiga e seja relativamente simples restaurar os arquivos. Os Ransomwares eram menos avançados anos atrás;

Crie e aplique políticas para BYOD

Estabeleça e aplique política de segurança para BYOD que possa inspecionar e bloquear dispositivos que não atendam as normas de segurança corporativa;

Implante soluções de segurança para e-mail e Web

Use ferramentas de segurança para e-mail e web que analisam os anexos de email, sites e arquivos com malware, que também possam bloquear anúncios potencialmente comprometidos e sites de mídia social que não têm relevância comercial. Estas ferramentas devem incluir a funcionalidade Sandbox, para que os arquivos novos ou não reconhecidos possam ser executados e analisados em um ambiente seguro;

Habilite opções como “Mostrar a extensão de arquivos” nas configurações do Windows

Isso tornará bem mais fácil distinguir arquivos potencialmente maliciosos. Como trojans são programas, você deve ficar de olho em arquivos com extensões como .EXE, .vbs, .SCR, PS1, etc. É preciso ficar atento também pois muitos tipos de arquivos que parecem comuns e familiares podem ser ameaças. Cibercriminosos podem usar diversas extensões para mascarar o malware em arquivos de vídeos, fotos, ou um documento;

Use uma solução de antimalware robusta

Para se proteger das ameaças atuais em rápida evolução, implemente solução de antimalware que proteja os dados dentro e fora da rede corporativa, para servidores, estações e dispositivos móveis, e que seja capaz de detectar e bloquear atividades de criptografia de Ransomware e comunicação C&C. Também é extremamente recomendável que esta solução inclua a funcionalidade de Sandbox, para que os arquivos novos ou não reconhecidos possam ser executados e analisados em um ambiente seguro, com capacidade de criação e distribuição automática de vacinas;