BLOG

O que é ransomware?

Ransomware é uma categoria de malware que restringe usuários de acessarem seus dispositivos ou dados. Os invasores de ransomware forçam suas vítimas a pagar o resgate com métodos de pagamento especificamente indicados, depois do qual concedem às vítimas o acesso a seus computadores ou a seus dados. Com ransomlockers, o invasor finge ser um oficial da lei local, exigindo uma "taxa" para que as vítimas evitem a apreensão e desbloqueiem seus computadores.

O CryptoLocker é uma variação do ransomware em que o malware geralmente criptografa os arquivos de um usuário e exclui frequentemente a cópia original. O invasor pede um resgate para que os arquivos sejam descriptografados. Não somente os arquivos no computador local são danificados, mas também os arquivos em todas as unidades de rede compartilhadas ou anexadas a que o computador tenha acesso de gravação.

5 etapas para impedir o ransomware

Para evitar a infecção por ransomware, siga estas etapas:

1 - Faça backup de seus computadores e servidores regularmente.

Faça backup regularmente dos arquivos nos computadores-cliente e servidores. Faça backup dos arquivos quando os computadores estiverem off-line ou use um sistema em que os computadores e os servidores conectados não possam gravar. Caso você não tenha um software de backup dedicado, pode também copiar os arquivos importantes em uma mídia removível. Então ejete e desconecte a mídia removível; não deixe a mídia removível plugada.

2 - Trave as unidades de rede mapeadas, protegendo-as com uma senha e com restrições de controle de acesso.

Use o acesso somente leitura para arquivos em unidades de rede, a menos que seja absolutamente necessário ter acesso de gravação a esses arquivos. Restringir as permissões do usuário limita os arquivos que as ameaças podem criptografar.

3 - Implementar e ativar as seguintes proteções do Symantec Endpoint Protection Manager:

IPS

O IPS bloqueia algumas ameaças que as definições de vírus tradicionais sozinhas não podem parar. O IPS é a melhor defesa contra downloads não solicitados, que ocorrem quando o download do software é feito involuntariamente na Internet. Os invasores frequentemente usam kits de exploração para um ataque com base na Web, como o CryptoLocker, por um download não solicitado.

SONAR

A proteção baseada no comportamento do SONAR é outra defesa crucial contra o malware. O SONAR impede que os nomes duplos de arquivo executável de variações do ransomware, como CryptoLocker, sejam executados.

Em uma política de Proteção contra spyware e vírus, clique em SONAR > Ativar o SONAR.

Download Insight

Modifique o Download Insight em uma política de Vírus e spyware - segurança alta para colocar em quarentena os arquivos que não foram comprovados ainda como seguros pela base de clientes da Symantec.

4 - Faça download dos patches mais recentes para frameworks de aplicativos da Web, navegadores da Web e plug-ins de navegadores da Web.

Os kits de exploração de ataque não podem fornecer downloads não solicitados, a menos que haja uma versão velha de um plug-in a explorar, como o Flash. Historicamente, os ataques foram fornecidos por navegadores de phishing e da Web. Recentemente, mais ataques são fornecidos por aplicativos da Web vulneráveis, tais como JBOSS, WordPress e Joomla.

5 - Use um produto de segurança de email para controlar o email com segurança.

O CryptoLocker é espalhado frequentemente pelos emails de spam que contêm anexos maliciosos. Para verificar emails de entrada para ameaças com um produto ou um serviço dedicado de segurança do email, é crítico manter o ransomware e outros malwares fora de sua organização. Para obter conselhos e recomendações importantes

Como eu removo o ransomware?

Não há nenhuma ferramenta de remoção de ransomware ou do CryptoLocker. Em vez disso, se seus computadores-cliente forem infectados com ransomware e seus dados forem criptografados, siga estas etapas:

A - Não pague o resgate.

Se você pagar o resgate:

Não há nenhuma garantia de que o invasor fornecerá um método para desbloquear seu computador ou para descriptografar seus arquivos. O invasor usa o dinheiro do resgate para financiar ataques adicionais contra outros usuários.

B - Isole o computador infectado antes que o ransomware possa atacar as unidades de rede a que ele tem acesso.

C - Use o Symantec Endpoint Protection Manager para atualizar as definições de vírus e fazer a verificação dos computadores-cliente.

As definições novas provavelmente detectarão e corrigirão os ransomlockers. O Symantec Endpoint Protection Manager faz o download automaticamente das definições de vírus no cliente, desde que o cliente seja gerenciado pelo Symantec Endpoint Protection Manager e esteja conectado a esse.

No Symantec Endpoint Protection Manager, clique em Clientes, clique com o botão direito do mouse no grupo e em Executar comando no grupo > Atualizar conteúdo e verificação.

D - Restaurar os arquivos danificados de um backup válido conhecido.

Como com outros produtos da segurança, o Symantec Endpoint Protection não pode descriptografar os arquivos que os ransomlockers sabotaram.

E - Enviar o malware ao Symantec Security Response.

Se você puder identificar o email malicioso ou o executável, envie-o ao Symantec Security Response. Essas amostras permitem à Symantec criar assinaturas novas e melhorar a defesa contra o ransomware.