Kaspersky Lab: Medidas de segurança contra ransomware e cryptoware

MEDIDAS DE SEGURANÇA CONTRA RANSOMWARE OU CRYPTOWARE

Assistimos actualmente a um aumento exponencial de ataques a empresas através de malware do tipo ransomware.

Neste tipo de ataques é comum os ficheiros e bases de dados da empresa serem cifrados. O atacante pede depois um resgate para devolver o acesso aos ficheiros, sendo que não existirá qualquer garantia de que, mesmo que o pagamento seja efectuado, os ficheiros sejam recuperados. Poderá perder todos os documentos e bases de dados da sua empresa!

Um dos métodos mais utilizados para a propagação é o envio de correio electrónico cujo assunto é "My photo" e inclui um anexo "my_new_photo" seguido de um número aleatório e a extensão .zip.

NÃO O ABRA!

Este método tem várias variantes mas, em geral, trata-se sempre de um ficheiro comprimido .zip que contém no seu interior um ficheiro executável com o malware. Os assuntos também podem variar, surgindo por exemplo "Orcamento Total. - 2269172" e "Hola my photo", entre outros.

Para reduzir o risco de infecção por malware do tipo Ransomware ou Cryptoware “file encryptors”, a Kaspersky Lab recomenda que tome as seguintes medidas de segurança:

• Mensagens de correio electrónico: o e-mail está a ser utilizado como a principal via de infecção até ao momento. O mais eficaz será utilizar soluções nos sistemas de correio, que tanto podem filtrar Spam como anexos suspeitos de código executável. Se não dispõe de soluções de perímetro pode activar o módulo de Antivírus de Correio da Kaspersky Lab para filtrar os seguintes tipos de anexos: ficheiros zip, pdf, doc(x), xls(x), exe, bat, ou qualquer outro que possa conter macros.

• Dois exemplos de métodos mais utilizados para a propagação são: 

• E-mail, aparentemente dos CTT, onde anexa um seguinte tipo de ficheiro zip:

Carta_registada_<número aleatório>.zip\Carta registada_<número aleatório>.exe

• Correio cujo assunto é: My photo

Conteúdo: My new photo , send u photo ;)

Inclui um anexo “my_new_photo” seguido de um número aleatório e extensão .zip.

Se alguém da organização receber algo do género, deverá apagar imediatamente o email! Confirme que o email não é aberto em quaisquer circunstâncias.

• Evitar o download de ficheiros cujo os links estejam indicados no corpo do email e que não pertençam a remetentes de confiança. Se existirem duvidas, reavalie o email e verifique se na mensagem existem caracteres estranhos ou erros ortográficos demasiado óbvios, por exemplo letra “ç” substituída por “c” ou não utilização de acentuação como por exemplo o til “~”. Se assim for, não abra os anexos nem clique nos links.

• Sempre que possível, actualize para a última versão do Kaspersky Endpoint Security 10 e configure-o seguindo o artigo técnico:

http://support.kaspersky.com/10905

• Assegure-se de que as bases de dados da solução de segurança são sempre as últimas disponíveis.

• Assegure-se que o componente System Watcher está activado.

• Assegure-se que o componente Kaspersky Security Network (KSN) está activado

• Active e configure o módulo de controlo de actividade de aplicações para evitar a execução de aplicações não confiáveis.

• Os ficheiros maliciosos ocultam o tipo de extensão que têm, por vezes tentando ludibriar através da colocação no nome de extensões confiáveis na descrição do ficheiro (nome). Para ver o tipo de extensão real do ficheiro, recomenda-se desactivar a opção de ‘Ocultar extensões para tipos de ficheiros conhecidos’, nas ‘Opções de Pastas’ no Explorador de ficheiros do Windows.

• Ter sempre cópias de segurança actualizadas (backups), tanto no computador como nas unidades de armazenamento dos dispositivos externos.

• Manter todo o software actualizado para proteger-se de infecções, como por exemplo, páginas que utilizam Web Exploit Kits e aproveitam-se de vulnerabilidades do navegador, Java, Flash ou Adobe Acrobat.

 UMA VEZ QUE A INFEÇÃO TENHA OCORRIDO, as vias para tentar recuperar os ficheiros são:

• Desligue o computador imediatamente após a detecção da infecção e isole o equipamento da rede.

• Entre no sistema em modo segurança e proceda à recuperação das Volume Shadow Copies.

• Proceda ao restauro das cópias de segurança.

• Tente recuperar os ficheiros com ferramentas forenses.

• Ferramentas da Kaspersky: http://support.kaspersky.com/viruses/utility.

• Ferramentas de terceiros: https://www.decryptcryptolocker.com/.

• Abra uma incidência para o departamento de Suporte Técnico da Kaspersky Lab através do portal de gestão de incidências: http://companyaccount.kaspersky.com.

• Ao abrir o pedido de assistência, por favor preencha o pedido de suporte com a informação solicitada aqui.

Nota: esta informação será imprescindível para análise dos nossos técnicos.