PplWare Mobile

Ransomware: Sabe o que é e como se previne?

                                    
                                

Este artigo tem mais de um ano


Autor: Vítor M.


  1. Ricardo Gaio says:

    Só uma palavra ao artigo: PARABÉNS!

  2. Não Interessa says:

    Uma vez fui infectado por um Ransomware desses que assim que fazia login no PC dizia que tinha andado a piratear cenas e por isso estava a ser acusado pelo governo do Brasil.
    Reiniciei o PC em modo de segurança, descobri qual era o processo que bloqueava o PC, abria a localização dos ficheiros e apaguei-os xD
    Mais tarde formatei o PC só por via das dúvidas 😉

  3. Ricardo Raimundo says:

    Excelente artigo Pplware! Muito agradecido.

    Já agora:
    “os próprios sistemas de cloud têm já métodos para salvaguardar alguns casos, mesmo os serviços gratuitos.”
    Esta é uma dúvida que eu tenho.
    Se ficar com os ficheiros encriptados no PC, os ficheiros na cloud não ficam também encriptados?
    Que clouds têm protecção contra ransomware?

  4. Osvander says:

    Eu não tenho problema com isso, pois, o meu sistema operativo é, Linux (pclinuuxos).

  5. André Araújo says:

    Apesar de já ter anos e anos de experiência informática e, de trabalhar num gabinete de projectos, ou seja, estou constantemente em contacto com computadores, infelizmente fui vítima de ransomware no meu computador pessoal. Ainda hoje não percebi como é que se infiltraram. Eu sou extremamente cuidadoso em relação a esse tipo de “e-mails-vírus”, não vou a sites duvidosos, tenho anti-virus, anti-spyware, firewall, tudo e mais alguma coisa devidamente actualizado e no entanto… Perdi toda a info que tinha por preguiça de nunca ter enviado as coisas para a Dropbox.
    Por isso que aconselho os meus colegas e amigos de fazerem sempre backups!

  6. Luis says:

    Tenho clientes (alguns empresas grandes) que foram infectados mais que uma vez pelo locky, encriptou tudo o que eram ficheiros do Office e Pdf. Só com backups foi conseguido recuperar.

  7. Miguel says:

    Forma de proteger:
    – Usar conta de Windows sem privilégios de Admin
    – Kaspersky Internet Security com ajuda do Malwarebytes Anti-Ransomware
    – Fazer uma formação nas TI
    – Backup para cloud em tempo real(Dropbox) “tem sistema de histórico”
    – Ublock Origin no chrome

    Esta receita é a chave do sucesso!

    • pedro osorio says:

      Basta teres o system watcher do kaspersky activado e fazer backups com frequência o que adicionares a isso é redundante.

    • Hugo says:

      Se é que existe chave para o sucesso será algo do tipo “NUNCA dar por certo que temos a chave para o sucesso” 🙂

    • Nathan says:

      Demora mais que 5 minutos? É preciso aprender?

      Esquece lá isso!

    • fsafa says:

      BitDefender Total 2016, eu tenho, contém proteção WEB completa, Ransomware protection (escolhes as pastas que queres bloquear), Intrusion Dectection (modo agressivo) bloqueia tudo estranho, entre outros… não é a toa que está top 1 em tantos reviews e ainda bem o SAFEPAY (tipo sandbox) para apagantos onlines…

  8. Nathan says:

    Maneira fácil: usar um iPad em vez de um PC.

  9. Hugo Monteiro says:

    O Locky não precisa de conta de admin local para encriptar ficheiros. É complicado esse.
    Backups all the way.

    • Domingos Pereira says:

      Eu já vi o .locky encriptar até a informação que estava na dropbox e se não me engano, não foi possível recuperar nada de nada, nem por versionamento. Este sim é dor de cabeça, mesmo para quem acha que tem as máquinas todas seguras por não poderem instalar nada.
      Backups e backups dos backups por via das dúvidas 😀

  10. Turboman says:

    Em primeiro lugar muito bom artigo. Agora relativamente aos comentários que eu vejo de algumas pessoas…. Vamos lá então esclarecer alguns pontos:
    – Sim já existe ransomware para Linux. E para Android. E para Mac. No entanto como não são sistemas operativos tão distribuidos como o Windows existem muitos poucos (tal como os restantes virus), por isso quem diz que está à vontade porque não tem Windows, isso não é totalmente verdade
    – Outro ponto adicional: Antivírus / Antimalware por si só não chega. Mesmo algumas supostas ferramentas anti-ransomware baseam-se em conhecimento prévio como os antivírus por isso muitas vezes nem cheiram. Basta pensar que existem milhares de variantes novas de ransom todos os dias. Existem inclusivé familias de ransom que a cada infecção mudar a forma de compactação e encriptação exactamente para ultrapassarem as defesas tradicionais (antivírus, antispams, etc)
    – A forma de infecção destes ransom ou é por mail aproveitando-se dos utilizadores que abrem tudo e mais alguma coisa que recebm por mail, ou então por injeção de código em páginas web comprometidas aproveitando-se de falhas de segurança de aplicações como browsers, java, flash e afins
    – Relativamente a backups na cloud e para discos externos, isso só é eficaz se os mesmos não tiverem ligados em permanencia ao pc que foi encriptado. Se houver shares para servidor (empresas), discos ligados ao pc etc, depois de ele encriptar os ficheiros, também vai encriptar tudo o que estiver ligado a esse pc
    – Atenção que já existe ransom que não se limita a encriptar ficheiros mas todo o conteudo do disco e reescreve a MBR por isso vai tudo à vida
    – Para quem quiser mais info sobre proteção a nível empresaria, comecem a olhar para software EDR pois já existem alguns que conseguem ser verdadeiramente eficazes na proteção contra estas ameaças

    • Ricardo Raimundo says:

      EXCELENTE!!

      Obrigado Turboman!

    • Duke says:

      Questão: se as drives externas não estiverem mapeadas também podem ser atacadas? P.Ex., usando uma NAS mas não mapear o seu acesso como drive.

      • Turboman says:

        Se não estiver mapeada em principio ele não irá encriptar o NAS pois à data só vai encriptar discos, discos externos / pens usb que estejam ligadas (cloud também) e drives mapeadas, no entanto o problema que eu vejo é que isto é o presente. Pela evolução que se tem visto destes ransom não me espanta que no futuro surjam novas variantes cujo poder destrutivo seja diferente….

  11. ze says:

    A praga do mackeeper pode ser considerado scareware?

  12. Khidreal says:

    como já disse noutros artigos, eu nem me preocupo com isto. eu tenho 3 fases de salvaguarda aqui:

    – o meu antivirus não deixa o windows abrir um ficheiro sem fazer um scan primeiro. sejam arquivos com 1 ano ou acabadinhos de sacar, faz sempre um scan. programei-o assim.
    – a segunda fase é ter todos os meus arquivos prioritários (fotos, etc) na cloud. a minha tem uma pasta reciclagem assim os meus ficheiros estão sempre seguros
    – a terceira fase é ter um disco rigido externo, no qual faço um backup mensal. este disco externo está protegido contra escrita, tenho sempre de o desproteger primeiro para o PC fazer o backup, sendo assim duvido que o ramsomware desative essa proteção. caso desative, tenho sempre uma instalação do windows 10 à mão, posso formatar quantas vezes quiser, não sei porquê o meu windows 10, mesmo depois de levar um disco rigido novo foi automaticamente ativado, não sei onde raio a MS escondeu a licença mas ainda bem pra mim.

    isto são processos simples de fazer, creio que aqui todos sabem ler não é? é só ler e seguir os passos, as pessoas é que fazer uma tempestade num copo d’água porque isto pode demorar bastante tempo. e á sempre videos, tutoriais e essas tretas todas a explicar como fazer.

  13. João Reis says:

    Só tem hipotese fazendo backups, investiguem facilmente sincronizar pastas na drop, pastas nao preicsam de estar na drop para conseguirem por a sincronizar la.
    Qualquer pasta do disco, pode ser enviada para a pasta drop de x em x tempo.

    Nao ha forma de prevenir, embora exista mais informacao e algumas formas utilizadas pelos AVs mas facilmente vao aparecer novas, é um industria de bilioes de dollars o ransomware.

  14. darkvoid says:

    Em primeiro EXCELENTE artigo!
    É preciso ter um BOM sistema de backup. Como disseram aqui não basta ter um serviço cloud com multi-versões.
    Possso dar um exemplo de um PC com ficherios de trabalhos importantes atingido por um ataque “zero day” de um ramsonware e com a Dropbox era preciso recuperar as versões de FICHEIRO A FICHEIRO.

    Quando se tinham MILHARES de ficheiro torna-se virtualmente impossivel!!

  15. BrunoP says:

    Sim, fui atacado pelo Cerber há cerca de 2 semanas.

    Tenho 2 discos externos encostados a um canto à espera que exista uma alma caridosa que disponibilize a chave para o problema…

  16. paulo says:

    já aqui na empresa e encriptou alguns ficheiros

  17. Nelson Santos says:

    Numa empresa de Serviços de Contabilidade e Gestão uma funcionária na sua hora de almoço ao consultar um site aparentemente inofensivo terá infetado o sistema…

    Devido à natureza do seu trabalho o acesso a bases de dados é permanentemente num espaço de minutos começaram a verificar que as mesmas estavam a ficar irreconhecíveis pelo sistema…

    Alguns exemplos documentos tipo word e pdf´s quando abertos estavam completamente cifrados…

    Para sorte a nossa pouco tempo após o início da cifragem passei no escritório e informaram-me que não estavam a conseguir trabalhar… quando sentei-me num dos pc´s no primeiro momento não acreditei no que estava a ver… 15 segundos depois corri ao servidor central e desliguei o cabo de alimentação… gritei a toda a gente para remover os cabos de corrente do pc´s ( desligar os pc´s o + rapidamente possível) ….

    O servidor também já estava infetado…. eram anos e anos de trabalho a fio de dia noite tudo perdido….

    A nossa salvação foi o NAS só entrava em funcionamento para backup às 4horas da manhã….

    Se a infestação tivesse ocorrido às 6 da tarde hora de saída dos funcionários teríamos perdido tudo…. mesmo… tudo!!!!

    Depois deste problema a empresa possui para além dos backups que já existiam à altura backups remotos.

    Acreditem ou não este problema pode surpreender qualquer um até as organizações aparentemente bem preparadas…

  18. Redin says:

    Estive muito recentemente num workshop sobre ransomware no CNSC e vim de lá bem assustado quando fiquei a saber que uma nova variante deste tipo está a ser dissimulado sem que se manifeste. Ora, aqui o truque está a deixar que os ditos ficheiros infetados sejam levados a fazer backup e mais tarde mediante um “triger” os faz despoletar. Ou seja, os vários backups já feitos com vários dias de antecedência fazem com que se tornem inúteis porque quando forem necessários entram só nesse momento num estado de encriptação.

    • Raul Vidal says:

      Já tinha pensado nessa possível situação. Se bem que é um ataque mais bem “pensado”, e que se dissemina mais discretamente. Pois só passado um tempo é que ele começa a encriptação. E ate pode começar a horas menos “comuns” e quando o PC estiver suspenso, ele iniciar como “por agenda do windows” e começar a correr a encriptação, com já autorizações adquiridas anteriormente. Isto é na verdade muito perigoso, se começar a actuar só 2 meses depois de já estar instalado, há muitos sistemas de backup/nas que escrevem por cima (devido a que não podem guardar um backup por semana, por questões de espaço virtual /Tb).

      Teríamos aqui um problema “monumental”, que a uma escala global afectaria milhares de empresas, pois até mesmo as preparadas com backups “mais modestos” não se safavam…

  19. JC says:

    Tenho uma dúvida:
    Instalei um programa de backup para um disco externo. Este está permanentemente ligado ao PC via usb.
    Se o PC for atacado, o meu disco externo também é encriptado ?

  20. AJMS says:

    Ficheiros que não quero perder estão sincronizados numa cloud em modo pausa, sincronizo sempre que altero algum ficheiro e volto a colocar em pausa o sincronismo, se pelo meio apanhar bicharada presumo o que está na cloud fica salvaguardado.

Deixe um comentário

O seu endereço de email não será publicado.

You may use these HTML tags and attributes: <a href="" title="" rel=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*

Aviso: Todo e qualquer texto publicado na internet através deste sistema não reflete, necessariamente, a opinião deste site ou do(s) seu(s) autor(es). Os comentários publicados através deste sistema são de exclusiva e integral responsabilidade e autoria dos leitores que dele fizerem uso. A administração deste site reserva-se, desde já, no direito de excluir comentários e textos que julgar ofensivos, difamatórios, caluniosos, preconceituosos ou de alguma forma prejudiciais a terceiros. Textos de caráter promocional ou inseridos no sistema sem a devida identificação do seu autor (nome completo e endereço válido de email) também poderão ser excluídos.