Como sobreviver a um pedido de resgate (dos seus dados)

Por António Eduardo Marques para Pplware.com

Destaques PPLWARE

30 Respostas

  1. Pedro Alhencar says:

    O que mais vejo é prefeituras do meu estado nunca fazendo backup dos dados, e pior usando roteadores baratos e duvidosos, e na nota de licitaçao o preço de um roteador de fama.

    eu mesmo faço o backup dos meus clientes in cloud, e ai quando acontece um ransoware, eu mesmo vou la, cobro, e restauro.

    fora as burrices de fazer backup no hd mesmo, de fazer bkup em pendrive de 1900, de deixar bkp de bkp no hd externo e danificado.

    FORA tb descargas eletricas e n fatores…nem precisa ser um sequestro dos dados.

  2. RJ45 says:

    Muito boa informação.
    No entanto, vejo um pequeno problema na solução sugerida. Se não for identificada a aplicação que está a encriptar os dados na rede, ou a máquina, a reposição do Snapshot só irá funcionar por alguns instantes.
    Isto significa, que mesmo utilizando este procedimento não invalida a formatação da máquina ou servidor de onde está a partir o ataque. No meu ponto de vista só existe uma solução para este tipo de “malware” a virtualização.

  3. JOrge says:

    António Marques,
    Essa do snapshots nos QNAPs, é muito bonito, mas nestas últimas versões do firmware só dá dores de que cabeça, basta pesquisares no forum deles…
    Ainda assim, prefiro fazer o backup versioning, na qual ele cria várias versões dos ficheiros alterados, que podem ser guardados, como eu tenho, 90 dias… Ou seja, podes buscar uma versão do ficheiro até 90 dias da sua última a alteração…. e podes fazes isso para disco externo, outro servidor, que suporte RTRR ou para a cloud, pelo que nesta última versão delas a beta APP backup suporte já o onedrive pessoal ou o business, que era uma falha deles até à data (falta de suporte para onedrive, nomeadamente quem tem contas 365)…

  4. José Moreira says:

    Os zip com password também estão vulneráveis a esta praga ?

  5. JSLindo says:

    Boas
    Quando efectuar backups para unidades de disco externas, normalmente usa-se o mapeamento dessa unidade.
    Caso seja possivel use o FTP, como envio e receção da copia efectuada. Desta forma não mapea drives e o Ransoware não tem acesso a esse disco.

    Só para dizer que ja tive um problema deste genero, e o ransoaware começou pelas drives mais afastadas em termos de letra do alfabeto.
    Desta maneira só afecta o disco C e consequentemente o funcionamento do S.O. após ter afectado todas as outras unidades.

    O que me valeu é que o AntiVirus detectou uma execução anomala e repetitiva e deitou o PC abaixo, contudo até ao momento de isto acontecer ainda ficaram danificados varias centenas de ficheiros.

    Solução:
    – Recuperar apartir de backups.

  6. ÁRF says:

    Talvez o melhor artigo de fundo (e de sempre dos que lí) do pplware. Bom trabalho. Uma boa política de cópias de segurança é a melhor forma de mitigar a ameaça do ransomware.

  7. Mike says:

    Parabéns ao autor pelo ótimo artigo. Já agora e antes das empresas gastarem fortunas em sistemas de backup e coisas do género, falta dizer no artigo que em primeira mão está a formação dos utilizadores. Em não permitir que usem a rede das empresas para ver o mail pessoal ou actualizar o facebook ( ou fornecer uma rede paralela só para efeitos privados). A maior parte das entradas de virús ramsoware é feita através da utilização indevida e descuidada dos utilizdores ( e sei do que falo). Por outro uma boa parte de empresas (e domicilios pessoais) não usam anti-virus, firewall ou qualquer outro tipo de programas de proteção de dados porque não estão para comprar licenças e aí poupar “uns cobres”.

  8. dcwecw wcecwec says:

    Hoje em dia quase todos os programas de backup encriptão os backups. Decerteza que ramsoware consiga fazer estragos num ficheiro ja encriptado.

    • nelsontb says:

      Não precisas de fazer decript ao backup para depois encriptar os documentos, podes simplesmente encriptar o backup em si pelo que perdes tudo de uma virada

      • dcwecw wcecwec says:

        Isso nao faz sentido, eu mando fazer um backup e no fim é encriptado com AES ou RSA, como é que o malware vai conseguir modificar este ficheiro já encriptado? Para o alterar primeiro tem de fazer o decrypt. Como ele vai conseguir alterar os ficheiros dentro do backup? Impossivel.

        • Joao Reis says:

          Ele modifica aleatoriamente segundo o próprio algoritmo, seja o que for. Ele não consegue saber o que está dentro mas eles não são inteligentes, eles encriptam a “heito”.

          O resgate não é bem resgate, ele não possuem os teus dados do ficheiro, apenas os encriptam dentro do teu PC e nao saem de la

        • nelsontb says:

          Ele não modifica o ficheiro encriptado dentro do backup, ele encripta novamente o ficheiro de backup, pensa nisto como teres um cofre com os teus documentos, o que eles fazem não é abrir o cofre e alterar os documentos, eles pegam no cofre inteiro e metem dentro de outro cofre

          • dcwecw wcecwec says:

            Ok sim faz sentido, o melhor é mesmo backup pa tape ou ficar num share onde o utilizador afetado nao tenha permissoes para alterar.

          • João Reis says:

            Tens é de saber qual o utilizador afetado, pode bem ser o mesmo que realiza o backup 😀
            Serviço versioning ou disco externo e fazes tu os backups de x em x tempo. Eu prefiro a abordagem Xcopy para pasta dropbox, tarefa programada no windows, de x em x tempo regular. Se for infectado o conteudo é restaurado no dropbox pelo versioning.

  9. neapo says:

    Porque não um step by step sobre: como fazer backups?

  10. APereira says:

    Se tiverem uma solucao de backup com versioning activo podem sempre recuperar os vossos ficheiros pois a cada backup é sempre guardada a ultima versao.

    Coisas tao simples como Dropbox, OneDrive, Sharepoint e mais alguns fazem isso de forma quase automatica.

    Mudem o caminho para as pastas pessoais para eles e caso aconteca algo terao ali um backup.

    • Joao Reis says:

      OneDrive não faz, apenas versão Empresarial conta Office 365 🙂
      Faz versioning apenas a ficheiros Office o que é ridiculo e inútil. Informa-te melhor.

      O mais fácil de usar é o Dropbox. Sugiro que cries uma tarefa no windows com um xcopy a copiar para a pasta dropbox de x em x tempo, assim vais fazendo backup sem programas nem gastares um tostao

  11. BM says:

    Acima de tudo está a precaução…”Quando não conheces abres uma porta a um estranho!?” é esta a frase que eu uso para explicar aos colegas que não são da área e tem dificuldade em entender.
    Abrir emails de quem não conhece( com textos como português…brasileiro e até inglês no corpo)…e com anexos.
    Através de email já tive colegas com grandes problemas…que de certeza que agora devem pensar duas vezes quando vão ler um email.

  12. Joao Reis says:

    Existe uma solução mais simples e barata, podem usar Dropbox por exemplo, mesmo que infectem o conteudo como tem o serviço versioning, podem restaurar tudo de uma altura anterior.
    Barato e simples.

    Criam uma tarefa que faz xcopy para a pasta dentro do dropbox no vosso pc, coloquem a tarefa de uma em uma hora por exemplo.

    A maioria do ransomeware atual tem cura, existe um site absolutamente fundamental para quem quer entender melhor e saber as ultimas curas e infeccoes possiveis.

    Procurem por bleepingcomputer caso sejam infectados, podem ter lá a solução.

    Podem identificar o ransomware com que foram infectados isto é fundamental para solucionarem e reverterem a encriptação:
    https://id-ransomware.malwarehunterteam.com/

    No bleeping computer tem muita informação e vao ficar espantados com a evolução social que este malware tem tido. Gera por ano mais de mil milhoes de euros em roubos, como sao valores pequenos por norma as pessoas pagam para reoslver, não é aconselhavel pagarem a nao ser que seja ultimo recurso para uma empresa que precisa dos dados no imediato.

    Por norma a solucao para o ransomware é descoberta nos meses seguintes, é aguentar os dados todos encriptados ate la.

Deixe uma resposta

O seu endereço de email não será publicado.

You may use these HTML tags and attributes: <a href="" title="" rel=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*

Aviso: Todo e qualquer texto publicado na internet através deste sistema não reflete, necessariamente, a opinião deste site ou do(s) seu(s) autor(es). Os comentários publicados através deste sistema são de exclusiva e integral responsabilidade e autoria dos leitores que dele fizerem uso. A administração deste site reserva-se, desde já, no direito de excluir comentários e textos que julgar ofensivos, difamatórios, caluniosos, preconceituosos ou de alguma forma prejudiciais a terceiros. Textos de caráter promocional ou inseridos no sistema sem a devida identificação do seu autor (nome completo e endereço válido de email) também poderão ser excluídos.