Ransomware

Page 1

RANSOMWARE • • • • •

COMO SE PROPAGA AS NOVAS VARIANTES VECTORES DE INFECÇÃO PROTEGER OS CLIENTES AS SOLUÇÕES ESET

RANSOMWARE Os seus dados em troca de dinheiro

Uma ameaça global O Ransomware, malware que encripta ficheiros e obriga ao pagamento de um “resgate” para os desencriptar, veio para ficar e, pior, está mais agressivo e dispendioso que nunca. Esta forma de ataque é uma extensão do cibercrime e na realidade está mais próxima do ciberterrorismo. Apesar do malware que efectua a encriptação de ficheiros dos utilizadores e empresas e tenta extorquir dinheiro não ser algo de novo, existem sim novas variantes muito perigosas e que estão a atacar empresas de pequena a média dimensão que já se viram privadas de aceder aos seus documentos e bases de dados de software de gestão. Em muitos casos, contrariamente ao recomendado, os clientes foram obrigados a ceder ao pagamento do resgate, continuando à mercê de futuros ataques.

Uma nova variante Uma nova campanha maliciosa que começou na América Latina e Europa de Leste está agora a assolar todo o território Europeu. Esta nova vaga de ransomware está a ser propagada através do trojan downloader Elnoocka, estando os laboratórios da ESET a detectar largos milhares de variantes, por dia. Este ataque começa com um email falso que chega à caixa de correio do utilizador. O assunto do e-mail quer fazer o utilizador acreditar que o anexo é um fax, um ficheiro falso detectado pela ESET como Win32/TrojanDownloader.Elenoocka.A. Se abrir este ficheiro e o seu antivírus não o proteger uma variante do Win32/FileCoder.DA será descarregada para o seu sistema, encriptando todos os ficheiros. Se não pagar o resgate em bitcoins irá perder os seus ficheiros para sempre. Algumas variantes do Win32/TrojanDownloader.Elenoocka.A ligam-se a um endereço remoto para descarregarem malware detectado pela ESET como Win32/FileCoder.DA e conhecido como CTB -locker. Esta família de malware encripta todos os ficheiros de forma similar ao CryptoLocker, sendo que a diferença principal reside no facto desta família de malware utilizar outro algoritmo de encriptação, do qual o nome deriva. O resultado é similar ao do CryptoLocker ou do TorrentLocker, em que ficheiros com extensões como mp4, .pem, .jpg, .doc, .cer, .db etc. são encriptados com uma chave, o que torna virtualmente impossível a recuperação.

LIGAÇÕES DE INTERESSE Ransomware – Como lidar com esta perigosa ameaça FileCoder - Os seus dados em troca de dinheiro Ransomware: FAQ para utilizadores de computadores e smartphones CTB-Locker: Há um novo malware a exigir o pagamento de um resgate Simplocker ransomware: Ameaça para Android

Vectores de infecção À semelhança do que acontece com outras famílias de malware, os cibercriminosos que apostam no ransomware Filecoder, experimentam diferentes métodos de introduzirem esta ameaça no computador das vítimas: •

Downloads a partir de sites contaminados com malware

Anexos de e-mail comprometidos

Instalação através de outro troiano ou backdoor (veja o primeiro exemplo no cenário que apresentamos abaixo)

Instalação manual feita pelo atacante através de uma infiltração por RDP (veja o segundo exemplo no cenário que apresentamos abaixo).

Outros vectores de infecção

Reduzir a probabilidade de infecção • actualizados. •

Assegure que existem cópias de segurança actualizadas de toda a informação sensível, incluindo bases de dados.

Aplique filtros de segurança nos servidores de email, que permitam filtrar anexos de ficheiros de forma a impedir a entrada de ficheiros potencialmente perigosos (ex.: .cab, .zip., .scr., .rar)

Informe os utilizadores para redobrarem os cuidados relativamente a emails com links e anexos

As soluções ESET Com esta vaga de incidentes, especialmente ao nível do mais recente CTB-Locker, a ESET alargou o suporte de funcionalidades avançadas às versões 5 empresariais, sendo estas alterações a adição do Bloqueador de Exploits e a Análise Avançada de Memória, que permitem a detecção proactiva da maioria das variantes desta ameaça. Assim recomenda-se que os clientes domésticos e empresariais das soluções ESET, activem o módulo HIPS e todos os outros módulos relacionados (Bloqueador de Exploit, Análise Avançada de Memória, Auto-Defesa). Deverão também activar o ESET Live Grid, sendo este um dos principais adjuvantes na mitigação de ameaças que surgem, um pouco por todo o mundo.

Poweradvance - Web Solutions, Lda. Avenida General Humberto Delgado, nº4 - Loja 4-A 2605-291 Belas Telefone/Fax: 21 491 59 15 Telemóvel (Vodafone): 93 625 01 99

Turn static files into dynamic content formats.

Create a flipbook
Issuu converts static files into: digital portfolios, online yearbooks, online catalogs, digital photo albums and more. Sign up and create your flipbook.