Confira recomendações para se prevenir contra ataques ransomware

- 04/08/2017

O ransonware é um tipo de código malicioso que torna os arquivos do computador do usuário afetado indisponíveis, geralmente utilizando criptografia, exigindo um pagamento de resgate ao atacante para restabelecer o acesso aos arquivos.

Esse tipo de ameaça ficou mais conhecido em maio deste ano, quando um novo ataque, de um ransomware chamado WannaCry, comprometeu milhares de computadores em mais de 150 países. Desde então, já foram registrados atividades maliciosas desse tipo em diversas empresas e instituições também no Brasil.

Assim como a maioria dos códigos maliciosos, a forma mais comum de infecção do ransomware é por meio da execução de arquivos maliciosos, na maioria das vezes recebidos nos anexos de e-mails falsos (phishing), ou que induzam o usuário a um link malicioso que o direcione a uma página que executa o código do ransomware.

Além disso, o ransomware pode explorar vulnerabilidades de softwares e sistemas operacionais que não tenham recebido as devidas atualizações de segurança e se propagar automaticamente, como foram os casos do Wannacry (ou Wannacryptor) e o Petya (ou NotPetya). Em ambos os casos, foi explorada uma vulnerabilidade em sistemas operacionais Microsoft Windows, que permitiram a propagação automática desses ransomwares em redes locais, mesmo sem a intervenção direta de um usuário.

Para se prevenir desse tipo de ataque, o Centro de Atendimento a Incidentes de Segurança (CAIS), que dá apoio às universidades e instituições de ensino e pesquisa usuárias da Rede Nacional de Ensino e Pesquisa (RNP), recomenda usar softwares e sistemas operacionais originais e licenciados. Programas piratas ou com o uso de crackers podem conter arquivos maliciosos que são executados no momento da instalação no sistema. Além disso, sistemas operacionais não originais não possuem suporte de atualização do fabricante, tornando-os vulneráveis a ataques e invasões.

De acordo com o analista de segurança do CAIS Yuri Ferreira, os usuários de computador devem ainda ser cuidadosos ao abrir links e e-mails suspeitos, mesmo que sejam de remetentes conhecidos. “Atacantes podem facilmente burlar o campo do remetente para se fazer passar por outros e assim enganar usuários. Lembrando que provedores de e-mail públicos como Gmail, Yahoo, Hotmail, entre outros, podem não filtrar corretamente e-mails maliciosos”, explica.

Segundo Ferreira, também é recomendável manter cópias de segurança (backup) periodicamente dos seus arquivos pessoais e corporativos presentes localmente no computador. Informações sobre boas práticas de backup podem ser encontradas no webinar realizado pelo CAIS/RNP.

Outra dica é manter os sistemas operacionais usados nos computadores atualizados, instalando as atualizações automáticas e reiniciando os computadores ao término da atualização. Também é importante manter as bases de dados dos programas de antivírus instalados no computador ou dispositivos móveis sempre atualizados.

Administradores

Já administradores de rede devem tomar precauções como, por exemplo, ter uma política de backup formalmente implantada, com execução de backups e testes de restauração de dados (restore) regulares. O CAIS também orienta a filtrar portas e protocolos utilizados por compartilhamento de arquivos e recursos (TCP e UDP 137 a 139, 445) em firewalls no perímetro, a fim de evitar acessos externos (internet) indevidos à rede local. Também é recomendado utilizar softwares filtros de spam (antispam) em soluções de e-mail corporativos, atualizando as bases de dados de identificação de usuários, domínios e conteúdos maliciosos. E o mais importante: realizar campanhas de conscientização para usuários, visando ao uso seguro de recursos computacionais.

O que fazer ao ser infectado?

Ao identificar um caso de ransomware, o usuário deve comunicar imediatamente a equipe de segurança ou equipe técnica responsável da organização. Também é essencial retirar o mais rápido possível o computador da rede local, a fim de evitar proliferação do malware para outros computadores.

O CAIS também orienta a não pagar o resgate. “O pagamento não é garantia de que o acesso aos dados será restabelecido”, afirma Ferreira. O analista também orienta formatar o computador, reinstalar o sistema operacional original e licenciado e restaurar os dados de cópias de segurança existentes.

Quem tiver o registro dessa atividade maliciosa deve enviá-lo com evidências do arquivo malicioso para CSIRTs de coordenação (CAIS e CERT.br) por meio do e-mail artefatos@cais.rnp.br.