Ataques de ransomware aumentaram muito em vários países, inclusive no Brasil. Só aqui, concentramos cerca de 55% dos casos de ransomware da América Latina. E isso mostra que a necessidade de segurança nas empresas está cada vez maior. Nesse artigo, vou demonstrar como reagir da melhor forma contra um ataque de ransomware, como fazer o controle, neutralizar a ameaça e voltar as máquinas infectadas de volta à rede de forma segura. E claro, estou considerando que você tenha pelo menos antivírus na sua empresa. Vamos utilizar como exemplo o antivírus McAfee, que é um produto excelente.
Quando você receber a notícia de que foi infectado, siga os passos abaixo:
1. Identificar e isolar os sistemas afetados
Isolar os sistemas afetados previne que outras máquinas na rede sejam infectadas, já que a maioria dos ransomwares têm a habilidade de se replicar na rede.
2. Tampar as vulnerabilidades e garantir a conformidade da rede
Aplicar as atualizações do sistema em todas as máquinas da rede é algo critico, pois evita que o vírus possa usar algumas dessas vulnerabilidades para atacar as máquinas. E também, garante a conformidade dos produtos de segurança baseado na política de segurança, já que nem todas as variantes de ransomware atacam vulnerabilidades de sistemas operacionais ou aplicações.
3. Aplicar regras contra ransomware nos produtos de segurança
No caso do McAfee, temos regras que você pode fazer para aumentar ainda mais a proteção contra ransomware. Neste documento, temos regras contra ransomware que podem ser aplicadas no Endpoint Security, VirusScan e Host IPS (artigo se encontra em inglês). Essas regras se baseiam em comportamentos dos ransomwares mais populares, e que bloqueiam as ações dos mesmos no sistema operacional.
4. Confirmar que as melhores práticas estão aplicadas
Vamos usar novamente o McAfee, que é um excelente produto de segurança, e que tem diversas boas práticas que podem ser utilizadas. Abaixo, seguem algumas delas:
- Melhores práticas para o DAC – link
- Melhores práticas para o VirusScan – link
- Como ativar o Global Threat Intelligence nos produtos da McAfee – link
Em qualquer produto de segurança, as melhores práticas têm que ser seguidas à risca, e confirmar isso quer dizer que você está usando o seu produto da melhor maneira possível, e que ele está fazendo aquilo que você precisa, que é proteger sua rede, sua empresa, seu computador.
5. Aplicar, testar e distribuir o Extra.DAT
O Extra.DAT é um arquivo de detecção temporária criado pela McAfee Labs para detectar e remover vírus que ainda não foram adicionados às DATs diárias. Se a McAfee providencia uma Extra.DAT, a melhor prática nesses casos é aplicar em um sistema infectado e testar para ter certeza que não terá problemas com as aplicações da rede, etc. Depois de testar, importe no seu ePO para que seja replicado para todas as máquinas e, após isso, faça um scan completo nas máquinas da rede. Sempre quando surgir um Extra.DAT, importe-o no ePO e replique.
6. Faça um scan completo em todos os sistemas
Caso não saiba como fazer o scan completo para o Endpoint Security, olhe como fazer nesse link, na página 56. Para fazer pelo ePolicy Orchestrator, crie uma tarefa de varredura e atribuía na árvore de sistemas em algum grupo, e na próxima comunicação do agente vai acontecer o scan completo nas máquinas.
7. Confirme o controle da rede
Olhe pelas últimas ameaças nas 24 horas, e veja se houve um controle na rede.
8. Coloque as máquinas isoladas de volta na rede depois de confirmar que elas estão limpas.
Depois que confirmadas que estão limpas, coloque elas de volta na rede e que elas sejam acompanhadas para observar se não terá um comportamento estranho.
9. Restaure os arquivos afetados de um backup
Aqui está a importância de você ter um backup dos arquivos. Caso os perca, podem ser recuperados. Utilizando alguma aplicação ou utilizando o serviço de cópias de sombra de volume do Windows, você já resolve o problema.
10. Realizar a resposta de incidentes e as medidas proativas
Bloquear arquivos no gateway na rede é a melhor e a mais fácil linha de defesa. O Ransomware, os downloaders e os JS/Nemucod todos são mascarados um com o outro. Normalmente, downloaders vêm em phishings ou spam em arquivos .DOC ou XLS, e de vez em quando em JS. JS/Nemucod também são enviados em phishings ou spam. O Ransomware vem em JS, EXE, TMP, SCR, WSF e muito mais. A maioria dos instaladores baixam um executável no diretório do usuário. É mais fácil se proteger contra ransomware se você se proteger contra os instaladores e os downloaders dele.
Para os downloaders e o nemucod, crie regras de firewall que previnam o Microsoft Word, Microsoft Excel, scripts, e o Powershell de fazer saída de dados. Porém, precisa criar listas apropriadas baseadas nos tráfegos legítimos gerados por essas aplicações.
Também é recomendado que haja bloqueio de arquivos compactados, se não for contra as políticas da empresa.
11. Considere implementar recomendações adicionais
- Implantar noções de segurança e treinamentos
- Simular campanhas de phishing para trazer noções de segurança para os usuários que caírem nos ataques de engenharia social.
- Lembrar os usuários de pensar duas vezes antes de clicar em qualquer coisa enviada pelo e-mail.
- Instruir os usuários a não abrir anexos desconhecidos ou sem solicitação, a não ser que seja especificamente requisitado pelo remetente. Também, verificar o cabeçalho do e-mail para validar o remetente.
- Retornar e-mails suspeitos para o pessoal de segurança. Ensine seus usuários a como e onde enviar os e-mails suspeitos.
- Desativar macros nas aplicações do Office. Macros só podem ser executados nas aplicações do Office se as configurações de macros estiverem ativadas para Habilitar Todas as Macros ou se o usuário manualmente executar uma macro. Por padrão, estará desativado. A configuração recomendada é Desabilitar Todas as Macros com Notificação.
- Usuários finais devem fazer cópias de segurança dos dados corporativos nas pastas compartilhadas. Caso aconteça um ataque, os dados podem ser perdidos, e esse tipo de atitude previne isso.
- Bloquear .exe, .rar, .scr, .cab, .vbs, .bat, .wsf, .js e anexos similares nos e-mails e nos gateways web.
- Previna que o Powershell execute em sistemas que não utilizam o Powershell.
- Garanta que não há politicas liberando arquivos .doc, .docx, .xls, .xlsx ou .js do anti-spam ou do antivírus.
- Instale a extensão do Endpoint Security nos navegadores (que é controlado pelo Web Control que faz parte do Endpoint Security) para que previna domínios maliciosos de serem acessados e arquivos maliciosos de serem baixados.
- Use os mail e web gateway para identificar links maliciosos e/ou bloquear e-mails com links ou anexos.
- Ative o filtro de spam.
Espero que você tenha gostado, repense bastante a questão de segurança na sua empresa e passe esse artigo para seus amigos, para que todos saibam como reagir contra o pior vírus da atualidade. No mais é isso, até a próxima!
Quer saber como proteger a rede de sua empresa? Nossos especialistas têm desenhado e implementado diversos projetos para nossos clientes. Basta ligar para (62) 3945-7955 ou acessar nossa página de contato.