Ir para o Menu
Pesquisar a Base de conhecimento
 Destacado
Informações à respeito de Ransomware e melhores práticas de prevenção
Número de Referência: AA-00608 Visualizações: 8385 Criado: 22-03-2016 11:01 Última Atualização: 15-12-2017 12:30

Referência Sophos: https://community.sophos.com/kb/en-us/120797

- Descrição:

O Ransomware se tornou uma das ameaças mais danosas na internet e, são capazes de se espalhar e causar grande prejuízo desde usuários finais à grandes organizações. Em geral, os ransomwares são malwares caracterizados por criptografar arquivos do PC ou storage e sequestrarem, principalmente, servidores, solicitando regaste financeiro para a liberação destes. Existem diversos tipos conhecidos, dentre os quais, podemos citar: CryptoLocker, Locky, Cryptowall, TeslaCrypt, Wana Decrypt0r 2.0, Petya.

- De onde veio a onda de infecções por Ransomware?

As ondas de Ransomware geralmente são difundidas através de e-mails ou links compartilhados em redes sociais. Através de estações sem o Anti-Vírus atualizado, ele se espalha para as demais estações da rede, os criptografando. Em muitos outros casos, como, por exemplo do Wana, vulnerabilidades do sistema são exploradas.

- O que fazer?

Formas de prevenção:

Para proteger as máquinas e servidores contra esta ameaça, existem boas práticas e camadas de segurança que devem ser aplicadas:

1. Conscientização do usuário:

Usuários devem ter atenção ao clicar em links e ativar as Macros, links e anexos de emails desconhecidos. Para evitar estas ameaças, é necessário realizar a conscientização dos usuários quanto a segurança da informação.

2. Windows Update - Manter todas as estações e servidores atualizados;

3. Manter o Sophos Endpoint instalado e atualizado em todas as estações;

4. Agregue segurança utilizando ferramenta de Gestão de Privilégios;

5. Restrinja permissão de escrita em file servers o quanto for possível. Remova permissões não necessárias;

6. Utilize política de senhas seguras (acima de 12 caracteres);

7. Revise suas regras de Firewall. Não deixe habilitado RDP para acessos externos, utilize VPN. Esta é uma das principais fontes de ataques;

8. Desabilite macros de documentos anexos via e-mail. A Microsoft deixou a auto-execução de macros como desabilitada a bastante tempo, no entanto, os malwares solicitam ao usuário para habilitarem os mesmos;

9. Recomendamos também utilizar uma ferramenta de Anti-Spam, tal como o Sophos UTM ou E-mail Appliance, para bloquear e-mails de remetentes não confiáveis e também analisar anexos. 

10. Utilize uma ferramenta de proteção de perímetro de sua rede, por exemplo, o Sophos UTM ou XG Firewall.  Além do Antispam, outras camadas são necessárias para proteger sua rede, tais como: Web Protection, IPS, ATP (Advanced Threat Protection) e Security Heartbeat;

11. Realize a segmentação da rede, separando as estações dos servidores;

12. Mantenha o backup regular dos arquivos considerados importantes. Essa é, geralmente, a única opção disponível de restauração dos arquivos criptografados pelo ransomware. Realize testes de restauração para garantir que os mesmos estão funcionando;

13. Para clientes de Sophos Endpoint, mantenha a política de Anti-Virus and HIPS, configurada de acordo com as boas práticas:

      • On-access scanning: on
        • Check files on Read, Rename, Write: on
        • Scan system memory: on
      • Download scanning: on
      • Block access to malicious websites: on
      • Sophos Live Protection: on
      • Behavior monitoring: on
        • Detect malicious behavioron
        • Detect malicious traffic: on
        • Detect buffer overflows: on

14. Para clientes de Sophos Central:

      • Live Protection: on
      • Real-time scanning: on
        • Local and remote: on
        • On read: on
        • On write: on
      • Scan downloads in progress: on
      • Block access to malicious websites: on
      • Detect low-reputation files: on
      • Detect network traffic to command and control servers: on
      • Detect malicious behavior (HIPS): on

15. Não crie exceções (Windows Exclusions) desnecessárias. Não hipótese alguma crie liberações para drivers do sistema.

16. Sophos Central: Habilite o Server Lockdown: Este recurso bloqueia instalações de softwares;

17. Deixe os bloqueios de PUA habilitados. Não permita ferramentas como Process Hacker, IOBit Unlocker e PC Hunter, entre outras de mesmo caráter.

18. Sophos Central: Habilite o Intercept-X + CryptoGuard em seu ambiente. Para isso, utilize uma licença Advanced.

19. Sophos Endpoint OnPremise: Habilite o Exploit Prevention. A licença é adquirida separadamente.

Observação: Mesmo que você implemente todas estas medidas acima, você nunca poderá garantir 100% de proteção, no entanto, caso ocorrer, é vital que você busque identificar a fonte de infecção e outros efeitos em potencial.


Sobre Ransomware Wana Decrypt0r 2.0:

Além das recomendações acima citadas, é extremamente recomendado garantir que o Windows esteja atualizado, incluindo a correção da vulnerabilidade MS17-010. Foi publicado o patch Windows XP, 2003 e 8 neste link: https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/

Boletim de segurança da Microsoft sobre esta vulnerabilidade: https://technet.microsoft.com/pt-br/library/security/ms17-010.aspx

Sobre Ransomware Petya:

         
A Sophos está ciente e trabalhando para proteções contra ransomwares em geral. Esta ameaça já é conhecida e possui vacina para a variação identificada como Troj/Petya-AQ: Threat Analysis. Maiores informações já foram divulgadas no blog da Sophos: Naked Security. Verifique as nossas recomendações acima para se manter protegido.

     Boletim de segurança da Microsoft sobre esta vulnerabilidade: https://technet.microsoft.com/pt-br/library/security/ms17-010.aspx

Para mais informações sobre Ransomware:

- Artigo da Sophos relacionado à Ransomware: KB 120797;

- Boas práticas para as configurações da política de Anti-Virus and HIPS: KB 114345;

- Artigo da Sophos sobre o Wanna Decrypt0r 2.0: KB 126733;

Recomendado: Artigo da Sophos de como ficar protegido contra ransomware: White paper - Sophos Ransomware



Clique aqui para retornar à página inicial  do suporte técnico

Atenção!!!

Para maiores informações abra um chamado para a nossa equipe de suporte através do nosso painel de controle, para isso siga as instruções disponíveis no artigo abaixo:

Instruções para Suporte Técnico - M3Corp:
http://suporte.m3corp.com.br/article/AA-00283