Ransomware WannaCry

Empresas do mundo inteiro vêm sofrendo um ataque que começou na Europa e rapidamente se espalhou pelo mundo. Instituições como Tribunal de Justiça de São Paulo, Telefônica, VIVO, Ministério Público de SP, entre muitas outras organizações públicas e privadas, sofreram grandes perdas com ataques do ransomware WannaCry.

Algumas chegaram a ter de desligar parte dos computadores e servidores da rede para impedir o avanço do ataque em suas redes, deixando de prestar alguns serviços essenciais nesse dia.

Entenda como funciona essa ameaça em nosso artigo sobre o assunto!

 

O que é ransomware?

O ransomware é uma forma de software mal-intencionado (ou malware) que, uma vez que invade o computador, o ameaça com danos, geralmente negando o acesso aos seus dados. Logo em seguida, o autor do ataque exige um resgate da vítima, prometendo — nem sempre de forma verdadeira — restaurar o acesso aos dados mediante pagamento.

Então, os usuários recebem instruções sobre como pagar uma taxa para obter a chave de descriptografia. Os custos podem variar de algumas centenas de dólares a milhares, pagáveis ​​aos cibercriminosos em Bitcoins.

 

Como acontece esse ataque?

As formas mais comuns de ataques são por e-mails de phishing ou por visita a um site que contenha um programa malicioso. Depois que for instalado, ele criptografará as informações armazenadas no computador da vítima ou impedirá que o computador funcione normalmente — além de deixar uma mensagem de resgate que exige o pagamento de uma taxa, a fim de descriptografar os arquivos ou restaurar o sistema.

Na maioria dos casos, a mensagem de resgate aparecerá quando o usuário reiniciar seu computador depois que a sua ação entrar em vigor.

 

O que fazer quando atingido?

O ato de remover o ransomware em si não é tão difícil. Se o invasor usou o ransomware de criptografia e você ainda pode entrar em seu computador, você pode colocar o computador no Modo de Segurança e executar um verificador de antivírus para localizar e excluir o malware. Infelizmente, apenas remover o ransomware não lhe dá acesso a todos os seus arquivos criptografados.

Há quem diga que as vítimas devem pagar o resgate, alegando que é a forma mais rápida e fácil de recuperar seus dados criptografados — e muitas organizações pagam mesmo se as autoridades policiais alertarem contra isso. Mas esteja avisado: se descobrir que sua organização é um alvo fácil para os cibercriminosos porque pagou um resgate, você pode se encontrar na mira de outros criminosos cibernéticos que estão tentando tirar proveito de sua segurança fraca.

E lembre-se de que você está lidando com criminosos aqui, o que pode significar que eles podem não manter sua palavra. Não há garantia de que você receberá a chave de decodificação, mesmo que eles a tenham. A descriptografia nem sempre é possível: há histórias de vítimas fazendo pagamentos de resgate e ainda não tendo arquivos criptografados desbloqueados.

 

Como se proteger?

Evitar que sua empresa seja vítima de um ataque de ransomware requer uma mudança fundamental — da detecção e remediação para a prevenção. Isso significa reduzir a superfície de ataque, impedir ameaças conhecidas e identificar e impedir ameaças desconhecidas.

Nosso time de especialistas elaborou uma série de medidas que recomendamos para empresas e instituições ficarem livres dessa ameaça global. São elas:

  • Fique atendo aos seus e-mails, grande parte dessas ameaças chegam por e-mail. Não confie no antispam básico de seu provedor (mesmo o Office365 ou Gsuite), é necessário um sistema mais completo e avançado para ameaças mais sofisticadas como essa;
  • Atualize seus sistemas operacionais Windows, incluindo o XP (a Microsoft já disponibilizou atualizações para corrigir brechas exploradas pelo WannaCry/WannaCrypt0r);
  • Realize backups regulares que devem ser armazenados em um meio separado do sistema. Se você executar um backup em um disco rígido externo, remova-o após o backup e verifique se esse meio de armazenamento está off-line. Com backups regulares, você pode garantir que não perderá nenhum dado no caso de uma infecção real de ransomware e poderá restaurar facilmente seu sistema. Ao fazer isso, certifique-se de usar uma mídia segura, que também não possa ser infectada;
  • Caso seja cliente da HSC, atualize todas as engines de segurança dos nossos produtos e de seu antivírus com o fabricante;
  • No HSC ISS (ou em seu web proxy), bloqueie as categorias “Webmail” e “Armazenamento pessoal” e habilite a reputação de URL’s;
  • Ainda no SecureWebGateway (HSC ISS), libere o SINKHOLED! para acesso de todos;
  • Habilite a reputação de URL’s e o sistema de proteção contra ataques direcionados;
  • No HSC MailInspector, habilite o HSC SmartDefender;
  • Habilite o módulo de IPS e IDS em seu firewall e no antivírus local;
  • Configure, em suas ferramentas de segurança, o bloqueio através desses hashs específicos referentes à anatomia desse malware.

 

Mas, por que o ataque do ransomware WannaCry é tão perigoso?

Trata-se do WannaCry ou WannaCrypt0r, um ataque do tipo ransomware. Esse tipo de ameaça é tão perigosa porque precisa apenas uma brecha de segurança em qualquer parte da rede para atingir computadores e criptografar todas as informações de computadores e servidores.

Mas o pior é que, ao criptografar todos os dados, as empresas perdem acesso muitas vezes a sistemas e informações importantes e, ao tentar acessá-las, recebem uma mensagem exigindo dinheiro em troca da devolução dos dados sequestrados.

Nesses casos de ataques recentes, o WannaCry exige montantes em dólares (convertidos em Bitcoins) que variam de acordo com o tamanho da organização.

Relatório do FBI sobre Fraudes por E-mail

 

Como combatemos o ransomware WannaCry?

O Laboratório da HSC já identificou amostras desse ransomware por meio de suas engines no próprio dia do primeiro ataque. Até o momento não foi registrado nenhum incidente com nossos clientes envolvendo essa ameaça. Nosso parceiro tecnológico F-Secure também já está atualizado quanto a essa ameaça e a F-Secure Cloud e F-secure BaseGuard, presentes no HSC MailInspector e HSC ISS, já são capazes de combater essa ameaça.

Além disso, o HSC MailInspector conta com um módulo chamado HSC Smart Defender, que é classificado como um Next Generation Targeted Attack Protection. Um módulo capaz de detectar ataques direcionados e ransomwares (como o WannaCry) antes mesmo de estes chegarem até a caixa postal.

Se você achou este texto sobre ransomware útil, compartilhe em suas redes sociais e faça com que ele chegue a outras pessoas!

Assine nossa Newsletter!

Receba por e-mail os nossos melhores conteúdos sobre segurança da informação.

Como proteger sua organização do temido Ransomware WannaCry

tempo de leitura: 5 min