Saiba como pode proteger os seus dados do Ransomware (1)
A forma como o chamado “ransomware” funciona requer uma abordagem específica para garantir a proteção dos seus dados, uma vez que até mesmo os backups podem ser afetados.
No que diz respeito ao malware, em geral, o chamado ransomware é, provavelmente, a ameaça que veio criar mais problemas aos utilizadores – quer domésticos, quer empresariais.
Hoje, aquilo a que chamamos, por força do hábito, “vírus”, é tudo menos isso. O típico vírus informático a que nos habituámos no mundo do MS-DOS e, mais tarde, do Windows – um pedaço de código que provocava “infeções” aos ficheiros .exe e .com e se propagava cada vez que eles eram executados – praticamente desapareceu. Era um tempo diferente, em que a Internet ainda não se tinha tornado omnipresente e em que a forma mais comum de propagação de um vírus era através de disquetes “infetadas”.
Atualmente a maioria das ameaças são, na realidade, “worms” – ficheiros maliciosos que se propagam através das redes, por vezes de forma tão simples como mensagens de email, e que não precisam (como um “vírus”) de um programa “hospedeiro”. E, a tudo o que consideramos “software malicioso” chamamos “malware”.
Este tipo de ataques coloca diversos tipos de desafios, especialmente, no que diz respeito à gestão de backups. Porquê? Porque, dependendo da forma como estiverem implementados os backups, estes podem também ficar encriptados!
É o que acontece frequentemente em empresas que utilizem sistemas de backups através de unidades de rede. As primeiras versões de ransomware de encriptação só conseguiam encontrar ficheiros de dados em unidades físicas ou mapeadas – caso o sistema de backup usasse recursos de rede não mapeados, não haveria problema. Contudo, versões mais sofisticadas de ransomware (o primeiro do género foi o CryptoFortress [1]) também são capazes de encriptar pastas de rede não mapeadas, desde que sejam acessíveis a partir do computador hospedeiro, e até ficheiros em partilhas de serviços na nuvem, como o Dropbox.
Acresce que, apesar do nome deste malware ser baseado no conceito de resgate («tu pagas, eu devolvo-te os ficheiros “raptados”»), nem sempre o pagamento garante a recuperação dos ficheiros.
A diferença do ransomware
O ransomware é um tipo de ameaça relativamente nova. Apesar do primeiro exemplo deste malware datar já do final dos anos 80, foi preciso esperar por 2013 para termos um exemplo cabal do que este novo tipo de ameaça é capaz. Foi neste ano que surgiu o Cryptolocker, com todos os elementos típicos do que, entretanto, nos habituámos a chamar ransomware, designadamente:
- O malware é executado no computador hospedeiro, em segundo plano, sem afetar inicialmente o funcionamento da máquina;
- Os ficheiros de dados do computador e/ou de quaisquer discos a ele ligado, são criptografados em segundo plano, ficando ilegíveis, usando criptografia de chave pública;
- Após a encriptação de um número significativo de ficheiros de dados – ou de todos! – é exibida uma mensagem ao utilizador indicando o que se passa e exigindo (esta é a parte do resgate/ramsom propriamente dito) o pagamento de uma quantia, através de Bitcoin ou outra criptomoeda semelhante, não rastreável, para desencriptar os ficheiros através do fornecimento da chave.
Este tipo de ataques coloca diversos desafios, especialmente, no que diz respeito à gestão de backups. Porquê? Porque, dependendo da forma como estiverem implementados os backups, estes podem também ficar encriptados!
É o que acontece frequentemente em empresas que utilizem sistemas de backups através de unidades de rede. As primeiras versões de ransomware de encriptação só conseguiam encontrar ficheiros de dados em unidades físicas ou mapeadas – caso o sistema de backup usasse recursos de rede não mapeados, não haveria problema. Contudo, versões mais sofisticadas de ransomware (o primeiro do género foi o CryptoFortress ) também são capazes de encriptar pastas de rede não mapeadas, desde que sejam acessíveis a partir do computador hospedeiro, e até ficheiros em partilhas de serviços na nuvem, como o Dropbox.
Acresce que, apesar do nome deste malware ser baseado no conceito de resgate («tu pagas, eu devolvo-te os ficheiros “raptados”»), nem sempre o pagamento garante a recuperação dos ficheiros.
Num próximo artigo iremos abordar algumas soluções para salvaguardar a informação de ataques de ransomware.
Vídeo sobre backups e instantâneos na QNAPTV Portugal
Este artigo tem o apoio da QNAP na disponibilização da informação ou equipamentos.
Parte 2
Este artigo tem mais de um ano
Imagem: DuoCircle
Fonte: QNAP
Neste artigo: QNAP, Ransomware
Ótimo artigo, eu teria um dúvida técnica.
Imaginando que o meu App de Backup Windows faça o Backup em uma unidade do formato Linux: Ext4, Brtfs, XFS e entre outros. Esse tipo de vírus infectaria arquivos nesse tipo de armazenamento? Ou o vírus irá executar em qualquer cenário (até em NAS Linux)?
Como o NAS usa pastas partilhadas se o forem acedidas pelos users do Windows os virus tambem infectam os ficheiros guardados nas pastas partilhadas do NAS . O mesmo se passa com os discos externos ou as pens.
Afecta tudo o que utilizar SMBv1
Lol.. Porque tudo se resume a wannacry e variações..
Potencialmente pode encriptar tudo.
Pessoalmente acho que melhor do que proteger a informação é impedir que se instale um ransomware, a informação fica em TAPES ou VTLs na cloud.
Lol@QNAP
Recomendo um bom antivirus completo, com sistema de proteção à malwares, principalmente a quem se sujeita aceder conteúdos de origem duvidosa. Não se fiem nos antivirus gratuitos, que normalmente não disponibilizam estas ferramentas adicionais. Já apanhei ransomware com o AVG free, portanto…
Pessoalmente utilizo o Trend Micro Maximum Security – que ainda hoje bloqueou um ramsoware ao tentar correr um programa de benchmark que fiz download dum site que disponibiliza ferramentas portateis para pendrives. É que esses tipos de programas utilizam um mecanismo de virtualização, no qual o programa malicioso fica compactado no ficheiro executável e não é detectavel pelos antivirus na altura do download, mas na altura de execução o pacote é descomprimido e o virus é executado. Se não tivermos um bom antivirus ficamos logo infectado.
No entanto foi-me recomendados 2 programas gratuitos que faz detecção preventiva de ransonware, mas ainda não testei se são eficazes:
– Kaspersky Anti-Ransomware Tool for Business – Free edition – Uso comercial e pessoal (não funciona em conjunto com outros produtos da Kaspersky)
– RANSOMSTOPPER FREE HOME & PERSONA
Mesmo assim prefiro jogar pelo seguro e apostar num bom sistema pago
Bom o melhor conselho que dou a toda a gente é ter backups actualizados dos seus ficheiros , é a única proteção eficaz que eu pessoalmente conheço contra vírus do tipo do ramsonware. E sei do que falo, pois já tive ataques a servidores e computadores que estavam com os últimos gritos de antivírus mas não eram imuned aos imensos bugs dos Windows que tem carradas de falhas de seguranças que faz com que os antivírus não consigam bloquear os ataques de ramsonware. Esqueci-me de referir que os backups não podem estar conectados fisicamente aos computadores , como por exemplo um disco externo USB , e se usarem um NAS não utilizem as contas do Windows para guardar o backup no NAS , criem uma conta específica dentro do nas sem permissão de administração do NAS e com permissão só para guardar os backups numa determinada pasta partilhada , essa pasta está vedada a todas os users dos Window, é o próprio software de backup que usa a tal conta no NAS para a aceder ao NAS.
A outra dica é nunca trabalhar com uma conta com direitos de Administração do Windows, usem uma conta sem direitos de administração .
É o que dá não perceber da poda, depois queixam-se os “profissionais” de TI que ganham mal, para serem afectados por ransomware e virem culpar os SO..
Hardening deve ser um mito na chafarica onde andas.
Este assunto traz também à baila como as moedas digitais podem ser usadas de forma ilegal.
*ilegal=criminosa
Também o dinheiro.. E então?
E então que é mais fácil seguir o rasto ao dinheiro normal que moeda digital.
Porque é que eles não deixam pagar via PayPal ou cartão de crédito?
Tu para não teres rasto no dinheiro normal, tens de ter forte conhecimento do sistema, tens de ser criativo e ter algum trabalho de preparação – que não se justifica para pedir 500€.
AS transações por bitcoin são publicas e estão em blockchain, logo não desaparecem (ao contrario de certas aplicações do fisco onde desaparecem milhoes e a culpa morre solteira)..
É muito mais facil seguires esse rasto que dinheiro físico.
Acho que não sabes bem do que falas..
Então porque é que pedem pagamento exclusivamente em moeda digital? Que ainda por cima tem um valor flutuante?
Obrigam o alvo a comprar moeda digital para quê?
Nota: se calhar tu é que precisas de pesquisar um pouco mais a relação entre o aumento do ransomware e a utilização de moeda digital.
regedit
HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters” SMB1 -Type DWORD -Value 0 –Force
Verdade!
O problema é nem todos os técnicos saberem o que quer dizer SMBv1 quanto mais HKLM.
Já ouvi “Samba é música!”
E os donos dos sistemas só querem as coisas da forma mais prática e mais simples, ignorando que determinadas máquinas nem à Internet deviam ter acesso.
É isso e acreditar que todos os problemas com ransomware advêm do SMBv1.
E que tal começar por bloquear correr executaveis a partir de directorios temporarios? Ou ninguém sabe como se instalam os ransomware?
Criptografar o backup com aes256bits usando cobian seria uma solução?