Este artigo é uma tradução de: “Protecting Against Ransomware“.

O que é ransomware?

O ransomware é um tipo de ameaça de malware que os criminosos usam para infectar computadores e criptografar arquivos até que um resgate seja pago. Após a infecção inicial, o ransomware tentará se espalhar para os sistemas conectados, incluindo unidades de armazenamento compartilhadas e outros computadores acessíveis.

Se as exigências de resgate não forem atendidas, os arquivos ou dados criptografados geralmente permanecerão criptografados e indisponíveis para a vítima. Mesmo depois que um resgate foi pago para desbloquear arquivos criptografados, os criminosos às vezes exigem pagamentos adicionais, excluem os dados da vítima, se recusam a descriptografar os dados ou recusam fornecer uma chave de descriptografia funcional para restaurar o acesso da vítima.

Como o ransomware funciona?

O Ransomware identifica as unidades em um sistema infectado e começa a criptografar os arquivos em cada unidade. Geralmente adiciona uma extensão para os arquivos criptografados, como .aaa, .micro, .encrypted, .ttt, .xyz, .zzz, .locky, .crypt, .cryptolocker, .vault, ou .petya, para mostrar que os arquivos foram criptografados já que a extensão do arquivo utilizado é exclusivo para o tipo ransomware.

Uma vez que o ransomware tenha concluído a criptografia de arquivos, ele cria e exibe um arquivo ou arquivos contendo instruções sobre como a vítima pode pagar o resgate. Se a vítima pagar o resgate, o criminoso pode fornecer uma chave criptográfica que a vítima usará para desbloquear os arquivos, tornando-os acessíveis.

Como o ransomware é entregue?

O ransomware é comumente oferecido por meio de e-mails de phishing ou por meio de “downloads automáticos”. Os e-mails de phishing geralmente são enviados de uma organização legítima ou conhecidos pela vítima e induzem o usuário a clicar em um link malicioso ou abrir um arquivo malicioso anexo. Um “drive-by download” é um programa que é automaticamente baixado da internet sem o consentimento do usuário ou, muitas vezes, sem o seu conhecimento. É possível que o código malicioso seja executado após o download, sem interação do usuário. Depois que o código malicioso é executado, o computador é infectado pelo ransomware.

O que posso fazer para proteger meus dados e redes?

  • Faça o backup do seu computador. Realize backups frequentes do seu sistema e de outros arquivos importantes, e verifique seus backups regularmente. Se o seu computador for infectado pelo ransomware, você poderá restaurar o sistema ao estado anterior usando seus backups.
  • Armazene seus backups separadamente. A melhor prática é armazenar seus backups em um dispositivo separado que não possa ser acessado de uma rede, como em um disco rígido externo. Quando o backup estiver concluído, desconecte o disco rígido externo ou o dispositivo separado da rede ou do computador.
  • Treine sua organização. As organizações devem garantir que forneçam treinamento de conscientização sobre segurança cibernética para as pessoas. Idealmente, as organizações terão sessões regulares e obrigatórias de treinamento de conscientização sobre segurança cibernética para garantir que seus funcionários sejam informados sobre as atuais ameaças à cibersegurança e as técnicas dos agentes de ameaça. Para melhorar a conscientização da força de trabalho, as organizações podem testar sua equipe com avaliações que simulam e-mails de phishing do mundo real.

O que posso fazer para evitar infecções por ransomware?

  • Atualize e corrija seu computador. Assegure-se de que seus aplicativos e sistemas operacionais (SOs) tenham sido atualizados com os patches mais recentes. Aplicativos vulneráveis ​​e sistemas operacionais são o alvo da maioria dos ataques de ransomware.
  • Tenha cuidado com links e ao entrar em endereços de sites. Tenha cuidado ao clicar diretamente nos links em e-mails, mesmo que o remetente pareça ser alguém que você conhece. Tente verificar de forma independente os endereços do site (por exemplo, entre em contato com o helpdesk da sua organização, pesquise na Internet pelo site da organização do remetente ou o tópico mencionado no email). Preste atenção aos endereços do site em que você clica, bem como àqueles que você digita. Os endereços de sites maliciosos geralmente são quase idênticos a sites legítimos, geralmente usando uma pequena variação na ortografia ou em um domínio diferente (por exemplo, em .com em vez de .net).
  • Abra anexos de email com cuidado. Tenha cuidado ao abrir anexos de e-mail, mesmo de remetentes que você acha que conhece, especialmente quando os anexos são arquivos compactados ou arquivos ZIP.
  • Mantenha suas informações pessoais seguras. Verifique a segurança de um site para garantir que as informações enviadas sejam criptografadas antes de fornecê-las.
  • Verifique os remetentes de email. Se você não tiver certeza se um e-mail é ou não legítimo, tente verificar a legitimidade do e-mail entrando em contato diretamente com o remetente. Não clique em nenhum link no email. Se possível, use um e-mail anterior (legítimo) para garantir que as informações de contato que você tem para o remetente sejam autênticas antes de contatá-las.
  • Informe-se. Mantenha-se informado sobre ameaças recentes de segurança cibernética e atualizadas sobre técnicas de ransomware. Você pode encontrar informações sobre ataques de phishing conhecidos no site do Anti-Phishing Working Group . Você também pode se inscrever para notificações de produtos da CISA , que alertarão quando um novo Alerta, Relatório de Análise, Boletim, Atividade Atual ou Dica tiver sido publicado.
  • Use e mantenha programas de segurança. Instale software antivírus, firewalls e filtros de email – e mantenha-os atualizados – para reduzir o tráfego de rede mal-intencionado.

Como eu respondo a uma infecção por ransomware?

  • Isole o sistema infectado. Remova o sistema infectado de todas as redes e desative o sistema sem fio do computador, o Bluetooth e qualquer outro recurso potencial de rede. Certifique-se de que todas as unidades compartilhadas e em rede estejam desconectadas, com ou sem fio.
  • Desligue outros computadores e dispositivos. Desligue e separe (ou seja, remova da rede) o (s) computador (es) infectado (s). Desligue e separe quaisquer outros computadores ou dispositivos que compartilharam uma rede com o (s) computador (es) infectado (s) que não tenham sido totalmente criptografados pelo ransomware. Se possível, colete e proteja todos os computadores e dispositivos infectados e potencialmente infectados em um local central, certificando-se de rotular claramente todos os computadores que foram criptografados. A desativação e a segregação de computadores infectados e computadores que não foram totalmente criptografados podem permitir a recuperação de arquivos parcialmente criptografados por especialistas.
  • Proteja seus backups. Assegure-se de que seus dados de backup estejam off-line e seguros. Se possível, analise seus dados de backup com um programa antivírus para verificar se está livre de malware.

O que faço se meu computador estiver infectado com ransomware?

  • Organizações: denuncie imediatamente incidentes de ransomware ao seu helpdesk de TI ou ao escritório de segurança.
  • Todos os usuários: altere todas as senhas do sistema depois que o ransomware for removido.