Recuperação ransomware : como se recuperar de ransomware

O ransomware existe há décadas, mas os ataques ransomware aumentaram nos últimos anos depois que o ataque ransomware WannaCry demonstrou que esses ataques são eficazes e lucrativos. Nos últimos anos, muitos grupos de ransomware surgiram e estão promovendo malware sofisticado.

Esses grupos aproveitaram a pandemia da COVID-19 para espalhar seus ataques via RDP e endpoints VPN vulneráveis. No entanto, embora o fim da pandemia de COVID-19 possa estar próximo, a pandemia de ransomware parece estar apenas a ganhar velocidade.

Saiba mais Fale com um especialista

Um aumento nos ataques de ransomware

Originalmente, o ransomware era um malware enviado por um único grupo de ameaças que criptografava arquivos em um sistema e exigia um resgate pela chave de descriptografia. No entanto, nos últimos anos, a face da ameaça do ransomware mudou drasticamente.

Uma mudança importante é a crescente escalada desses ataques. Primeiro, os ataques de “dupla extorsão” roubaram dados confidenciais antes de criptografá-los e ameaçaram vazar os dados se o resgate não fosse pago. Depois, grupos de “extorsão tripla” começaram a ameaçar e a exigir resgates também aos clientes das suas vítimas. Agora, alguns grupos de ransomware estão ameaçando ou realizando ataques de Negação distribuída de serviço (Distributed Denial of Service, DDoS) (DDoS) para colocar uma vantagem adicional nas vítimas para pagar o resgate.

Outra grande evolução é o surgimento do modelo Ransomware como Serviço (RaaS) , onde um grupo ransomware desenvolve malware e depois o distribui a “afiliados” para uso em seus ataques. Com o RaaS, mais grupos têm acesso a malware sofisticado, o que significa mais ataques de ransomware.

O que fazer quando infectado

Se você foi infectado, siga estas etapas para gerenciar o impacto do incidente e se preparar para a recuperação do ransomware:

  1. Fique calmo: os ataques de ransomware podem ser estressantes, mas precipitar-se pode significar cometer erros graves. Manter a cabeça fria é essencial para tomar as decisões corretas durante a recuperação de um ransomware.
  2. Sistemas afetados pela quarentena: O ransomware geralmente tenta se espalhar pela rede para infectar o maior número possível de sistemas. Desconectar sistemas infectados do resto da rede pode ajudar a evitar que outros dados também sejam criptografados.
  3. Desconectar backups: O ransomware geralmente tem como alvo os sistemas de backup porque os operadores ransomware sabem que as organizações tentarão se recuperar dos backups em vez de pagar o resgate. Não conecte nenhum backup ao computador infectado e monitore e coloque em quarentena todos os backups que possam estar infectados.
  4. Faça uma cópia: a descriptografia de ransomware nem sempre funciona e os descriptografadores ransomware estão em desenvolvimento contínuo. Fazer uma cópia dos dados criptografados pode permitir que eles sejam recuperados posteriormente, caso algo dê errado.
  5. Mantenha os sistemas infectados online: algumas variantes de ransomware podem tornar os sistemas infectados instáveis, o que significa que uma reinicialização pode deixá-los em um estado irrecuperável. Não tente reinicializar sistemas ou realizar atualizações em sistemas infectados enquanto trabalha para remover o ransomware.
  6. Cooperar e comunicar: Entre em contato com autoridades policiais, reguladores e outras partes interessadas e considere entrar em contato com uma equipe de resposta a incidentes confiável. Eles podem ter conhecimento especializado ou recursos adicionais para ajudar a resolver o problema.
  7. Identifique a variante: muitas variantes diferentes de ransomware estão em circulação e a lista muda constantemente. Se a nota de resgate não nomear o autor, verifique o No More Ransom Project para obter mais informações e, potencialmente, um descriptografador gratuito.
  8. Pagar ou não: Esta questão é difícil. Por um lado, pagar o resgate pode permitir uma recuperação mais rápida e barata. Por outro lado, o pagamento não oferece garantia de recuperação e fornece aos atacantes os recursos necessários para continuarem as suas atividades.
  9. Aprenda com o incidente: o ransomware obteve acesso aos seus sistemas de alguma forma. Identifique o vetor de infecção e feche-o para evitar que futuros invasores utilizem as mesmas técnicas.

Como se recuperar de ransomware

Um ataque de ransomware bem-sucedido criptografa os dados de uma forma que torna impossível descriptografá-los sem a chave de descriptografia adequada. No entanto, existem algumas opções para recuperação de ransomware:

  • Projeto No More Ransom: Como mencionado acima, o primeiro lugar para procurar uma solução é o Projeto No More Ransom. Descriptografadores gratuitos foram lançados para muitas variantes de ransomware, permitindo a recuperação sem pagar o resgate. No entanto, as ferramentas normalmente não estão disponíveis para as variantes de ransomware mais comuns.
  • Restaurar de backups: O ransomware geralmente tenta excluir ou criptografar backups, mas é possível que alguns permaneçam intactos. se eles estiverem off-line ou somente leitura. Depois de verificar se o backup está limpo e limpar completamente o computador, incluindo o Master Boot Record (MBR), pode ser possível realizar uma recuperação parcial ou total dos backups.
  • Pague o resgate: O objetivo do ransomware é colocar as vítimas em uma posição em que pagar o resgate seja a “única opção disponível”. A decisão de pagar ou não depende da situação única de uma organização e acarreta riscos significativos.

Além de restaurar arquivos, é essencial garantir que os invasores não possam recriptografar imediatamente os arquivos nos computadores infectados. Envolver uma equipe de resposta a incidentes (IRT) para identificar e fechar a vulnerabilidade usada para obter acesso ao ambiente corporativo e para detectar e remover quaisquer backdoors e mecanismos de persistência instalados em sistemas infectados é uma etapa vital antes de restaurar esses sistemas.

Recuperação ransomware com Check Point

Quando se trata de ransomware, a prevenção é sempre a melhor opção. Ter uma solução anti-ransomware implementada antes que ocorra um ataque pode economizar muito tempo, dinheiro e problemas para uma organização. Para saber mais sobre soluções anti-ransomware, confira este Guia do Comprador e solicite uma demo gratuita do Harmony Endpoint.

No entanto, se você for vítima de um ataque de ransomware bem-sucedido, é uma boa ideia recorrer a especialistas. As equipes de Detecção e Resposta Gerenciada (MDR) e Resposta a Incidentes (IR) da Check Point têm ampla experiência na detecção, investigação e gerenciamento de infecções de ransomware.

Se você estiver enfrentando um incidente de segurança cibernética, ligue para nossa Linha Direta de Resposta a Emergências. Para assuntos menos urgentes e para saber mais sobre como se proteger contra futuros ataques de ransomware, entre em contato conosco.

×
  Opinião
Este site usa cookies para sua funcionalidade e para fins de análise e marketing. Ao continuar a usar este site, o senhor concorda com o uso de cookies. Para obter mais informações, leia nosso Aviso de cookies.
OK