Olá a todos, como já é de conhecimento da maioria das pessoas na área de TI, vou falar sobre o ransomware e maneiras de combater e reduzir os impactos dele em uma rede.
Primeiramente, o que é ransomware?
Ransomware não é nada mais que um malware que criptografa ou bloqueia os arquivos de um computador ou uma rede e solicita um “resgate” (a tradução do inglês da palavra ransom é resgate) para que esses arquivos sejam “liberados”.
Porém esse conceito do ransomware não é recente, ele surgiu na década de 1980 e foi criado por Joseph Popp.
Nem sempre, mesmo com o pagamento do resgate, os arquivos são liberados, por isso a melhor maneira de se proteger no momento é a prevenção.
Mas como se prevenir do ransonware?
Hoje não existe nenhum método 100% eficaz. Já existem alguns softwares que inclusive conseguem descriptografar os arquivos infectados pelo ransomware, porém o nível de criptografia usada foi baixo, e isso ocorre somente nos primeiros ransomwares criados, além disso existe uma variação enorme de ransomwares, o que dificulta ainda mais o trabalho.
Formas de prevenção:
Os pilares para a gestão da segurança da informação são pessoas, processos e tecnologia e é assim que se inicia a prevenção contra o ransomware e outros malefícios da TI, pois tratando esses 3 itens é possível ter um controle muito alto de toda estrutura.
Pessoas:
A conscientização em forma de treinamentos, documentos (cartazes, e-mails, etc.), demonstrações geram um retorno e uma prevenção extremamente alta, pois somos nós pessoas, que manuseamos as tecnologias e utilizamos dos processos.
Quando um usuário já está consciente do problema que pode causar em uma estrutura abrindo um anexo desconhecido, ou sabendo o que acontece quando ele executa um arquivo malicioso, esse risco já reduz, pois ele sempre irá checar a validade e veracidade desse conteúdo.
Processos:
Os processos estão consistem na maneira que irá executar alguma rotina. A simples implementação de um sistema não é suficiente, ensinar o usuário uma vez somente costuma ser ineficaz. Por isso os processos são importantes, pois é necessário ter procedimentos para lidar com toda estrutura de uma organização. Treinamentos constantes de maneira que o conteúdo possa ser absorvido ao máximo, rotinas de backup bem executadas com validações e testes constantes. Teste e simulações de desastres (o que fazer quando algum problema ocorrer?). Parecem ser coisas simples, mas é importante documentar tudo isso para que com o tempo não se perca esses procedimentos.
Tecnologia:
A tecnologia tão importante quanto processos e pessoas, talvez um dos itens mais focados pela área de TI. Como dito anteriormente, ainda não existe nenhuma ferramenta 100% eficaz contra o ransomware, as tecnologias utilizadas são alguns softwares para desencriptar arquivos. Esses softwares foram desenvolvidos por um grupo de empresas como Kaspersky e Intel Security (McAfee), grandes no mercado no combate a malwares, e podem ser encontrados no site: https://www.nomoreransom.org/decryption-tools.html , além de informações diversas sobre o ransomware.
Outra forma muito indicada, não só para o ransomware, e tem salvado a vida de muitas empresas são os Backups. Com processos consistentes, rotinas de backups bem executadas por pessoas treinadas e conscientes da importância do backup, é possível reduzir muito o impacto do ransomware restaurando os arquivos criptografados ou bloqueados. É interessante ser bem cauteloso, pois ao fazer o backup, pode incluir arquivos já criptografados pelo ransomware. Sendo assim é bom ficar alerta o quanto antes, para caso ocorra o desastre, já impedir a propagação do malware e restaurar o backup mais recente.
Shadow Copy é uma tecnologia usada desde a versão 2003 do Windows Server, o qual prove um “Snapshot” dos arquivos do File Server possibilitando uma restauração de versões anteriores do arquivo. Obs: O shadow copy não é uma ferramenta de backup!!!
AntiSpams bem configurados é uma boa forma de prevenção também, pois um dos maiores meios de propagação do ransomware é por e-mail. Existe AntiSpams hoje, como por exemplo o Sonicwall E-mail Security, que fazem tratamentos onde todo arquivo zipado em anexo caia em uma caixa de aprovação para que seja liberado somente pelo administrador do sistema. Isso pode acarretar um pouco mais de trabalho, mas é bem eficiente. Além disso ele faz também verificação e escaneamento dos anexos.
Existe uma maneira também muito interessante que impede que a maioria dos ransomwares.
Quando um ransomware criptografa um arquivo, em sua grande maioria, eles alteram a extensão dos arquivos criptografados. Existe uma ferramenta do Windows Server chamada File Server Resource Manager, que é utilizada para fazer diversas configurações do servidor de File Server, inclusive criar regras que impedem o salvamento de arquivos com determinadas extensões em uma unidade. Assim é possível configurá-lo para bloquear o salvamento de arquivos (consequentemente a alteração também) de todas as extensões com exceção das já conhecidas, como por exemplo: .docx, .xlsx, etc…
Em breve estarei criando um tutorial ensinando a configurar o File Server Resource Manager.
Espero ter ajudo com esse artigo e em caso de dúvidas fico a disposição para quem precisar.
Abraços.
http://securitytarget.com.br/como-se-proteger-do-ransomware/