Atualmente muito se fala de Ramsomware. Foi em 2016 e será em 2017 um dos trend topics na área de CyberSecurity. Inclusive temos as colunas de nossos colegas Renato Opice Blum e Rafael Narezzi como exemplos.
Este artigo tem como objetivo focar principalmente em nosso dia-a-dia na prevenção e contramedidas se o ataque já foi concretizado.
Prevenção
- Conscientização de usuários: Tarefa mais árdua e importante em um processo de segurança da informação efetiva, tanto para casos de phishing, quanto ransomware e outras ameaças. É altamente recomendável instruir os colaboradores sobre os aspectos de navegação segura (que reflete inclusive na vida pessoal). Abaixo relaciono algumas dicas:
- Ao passar o mouse sobre o link, verifique na barra de status se o link aparenta ser confiável. Vale também em clientes de email. Na dúvida não clique.
- Cadeados de sites seguros (https): Não são garantia de segurança. Veja 2 sites com links aparentemente iguais.
Ambos aparentam ser da Apple e possuem o cadeado de segurança, porém um deles é falso. Vide abaixo.
O primeiro é falso, verifique que a empresa emissora não parece ser confiável. Explico em próximo artigo.
- Atualizações de Softwares: Fundamental a utilização de softwares e antivírus atualizados, para o ambiente Windows, a Microsoft disponibiliza gratuitamente o MBSA 2.3, para verificação do Baseline de Segurança. Por incrível que pareça é muito comum o descaso neste item.
- Backup off-line: Tenha sempre um backup com proteções e que não esteja no mesmo canal de comunicação do equipamento atacado. Adicionalmente é recomendável um backup off-line das informações mais sensíveis.
- Política de segurança: Implemente e teste periodicamente as rotinas de backup, verifique (caso aplicável) os isolamentos entre os dispositivos e acessos com diferentes níveis de acesso.
- Senhas: Quando possível criptografar a senha e nunca deixá-los abertos em códigos de programas ou em diretórios do próprio servidor. O site https://howsecureismypassword.net/ indica a complexidade em tempo real.
Contra-medidas
Normalmente os antivírus possuem assinaturas que identificam as ferramentas de ataques e bloqueiam a execução, mas se esta barreira foi quebrada devemos efetuar as etapas a seguir.
Verificar no site https://www.nomoreransom.org/ se a ferramenta de criptografia tem seu “decryptor”.
Até a data de publicação dessa coluna, já estão disponibilizadas contramedidas para:
Rakhni Decryptor (updated 2-3-2017 with Dharma)
Rannoh Decryptor (updated 20-12-2016 with CryptXXX v3)
Cry9 Decryptor
Damage Decryptor
Crypton Decryptor
Merry X-Mas Decryptor
BarRax Decryptor
Alcatraz Decryptor
Bart Decryptor
Crypt888 Decryptor
HiddenTear Decryptor
Noobcrypt Decryptor
CryptoMix Decryptor
Popcorn Decryptor
Marlboro Decryptor
GlobeImposter Decryptor
MRCR Decryptor
Globe3 Decryptor
Derialock Decryptor
PHP Ransomware Decryptor
WildFire Decryptor
Chimera Decryptor
Teslacrypt Decryptor
Shade Decryptor
CoinVault Decryptor
Jigsaw Decryptor
TM Ransomware File Decryptor
NMoreira Decryptor
Ozozalocker Decryptor
Globe Decryptor
Globe2 Decryptor
FenixLocker Decryptor
Philadelphia Decryptor
Stampado Decryptor
Xorist Decryptor
Nemucod Decryptor
Gomasom Decryptor
Linux.Encoder Decryptor
Caso a ferramenta de criptografia não esteja na lista acima (por se tratar de uma nova variante), recomendo um fórum da comunidade. No entanto em casos extremos, na qual aceite pagar o resgate da chave mestre (não recomendável), saiba que os hackers BlackHat, normalmente cumprem o que prometem, pois em um eventual não cumprimento do “acordo” a informação será disseminada e por consequência cessará os demais resgates por perda de credibilidade. Isso realmente não é interessante para o atacante, como em qualquer comércio.
