201602_cryptolocker

O Cryptolocker é um ransomware que ataca as vítimas encriptando os documentos armazenados no equipamento e pedindo um resgate por eles.

O ransomware é um tipo de software maligno que, uma vez que infecta o computador, bloqueia a máquina e chantageia a vítima para esta recuperar o controlo do equipamento em troca de um desembolso de dinheiro. É claro que pagar o resgate não nos garante que o cibercriminoso nos devolva o acesso, pois é muito provável que não o chegue a fazer e que tenha sido só um truque para nos burlar. Alguns dos utilizadores cujos equipamentos foram infectados afirmam não ter recebido a palavra-passe de desbloqueio após o pagamento.

Actualmente existem diferentes grupos de hackers que usam o Cryptolocker nas suas campanhas maliciosas. Este software maligno encripta todos os tipos de documentos (fotografias, vídeos, áudio…) e, além disso, proporciona aos utilizadores infectados uma lista com todos os ficheiros encriptados. Para efectuar esta “travessura”, usa o sistema de encriptação RSA-2048 com uma palavra-passe privada. Além disso, é mostrado um relógio com uma contagem decrescente de três dias e um aviso que insta a vítima a pagar o resgate nesse prazo ou a palavra-passe será eliminada para sempre, sem qualquer opção de recuperar os ficheiros encriptados.

Como é divulgado o CryptoLocker? Principalmente através de e-mails de phishing. Damos-lhe uma série de medidas de segurança para reduzir o risco de infecção.

Medidas de segurança contra o ransomware

Para reduzir o risco de infecção por software maligno do tipo ransomware “file encryptors”, como o CryptoLocker, a Kaspersky Lab recomenda tomar as seguintes medidas de segurança:

  1. Proteger mensagens de correio, pois neste momento é a principal via de infecção. O mais eficiente é activar soluções perimetrais nos sistemas de correio que possam filtrar tanto spam como anexos que possam conter código executável nos mesmos. Se não se dispuser de soluções perimetrais, deve-se activar o módulo de Antivírus de Correio da Kaspersky Lab, que filtra os seguintes tipos de ficheiros anexos: ficheiros zip, pdf, doc(x), xls(x), exe, bat ou qualquer outro que possa conter macros.
  1. Evitar descarregar ficheiros cujas hiperligações estejam indicadas no corpo de uma mensagem e que não provenham de pessoas de confiança. Em caso de dúvida, analisar se na mensagem existem caracteres estranhos em vez de acentos ou erros ortográficos como o ã não ter a til. Se for o caso, não abrir os possíveis anexos nem clicar nas hiperligações.
  1. Sempre que possível, actualizar o produto antivírus para o Kaspersky Endpoint Security 10 MR1 for Windows (10.2.1.23) e configurá-lo seguindo este artigo técnico.
  1. Garantir que as bases de assinaturas da solução sejam sempre as últimas disponíveis.
  1. Garantir que os componentes System Watcher e Kaspersky Security Network (KSN) estejam activados.
  1. Activar e configurar o módulo de controlo de actividade de aplicações para evitar a execução de aplicações que não sejam de confiança.
  1. Os ficheiros maliciosos ocupam o tipo de ficheiro que são, usando diferentes técnicas. Para ter sempre visibilidade do tipo de extensão real do ficheiro, é recomendável desmarcar a opção “Ocultar extensões para tipos de ficheiro conhecidos”, nas Opções da Pasta” do Explorador de ficheiros do Windows.
  1. Ter sempre cópias de segurança actualizadas dos dados, tanto de equipamentos de trabalho como de unidades de armazenamento em dispositivos externos.
  1. Manter todo o software actualizado para se proteger de infecções provenientes de sites que usam Web Exploit Kits, que se aproveitam de vulnerabilidades do navegador, Java, Flash ou Adobe Acrobat.

Recuperação de ficheiros após a infecção

Caso tenha ocorrido uma infecção, as vias para tentar recuperar os ficheiros são:

  1. Desligar imediatamente o equipamento uma vez detectada a infecção e isolá-lo da rede.
  2. Entrar no sistema em modo seguro e recuperar as Volume Shadow Copies.
  3. Proceder ao restauro das cópias de segurança.
  4. Tentar recuperar os ficheiros com ferramentas forenses.
  5. Usar as ferramentas da Kaspersky ou de terceiros.
  6. Abrir uma ocorrência no departamento de Apoio Técnico do Kaspersky Lab através do portal de gestão de ocorrências, descarregando e enviando a informação requerida no ficheiro disponível neste link.

Além disso, a Kaspersky desenvolveu duas ferramentas, uma para saber se os seus clientes foram infectados por uma rede Botnet, e outra para, caso sejam vítimas de ransomware, desencriptar os ficheiros afectados.

E lembre-se de que o melhor é a prevenção, por isso recomendamos que instale aos seus clientes as soluções de segurança mais avançadas, como as disponibilizadas pela Kaspersky, e que pode ver no nosso site.

 

#Cryptolocker #segurança #ransomware #kaspersky

Fonte: GTI – Enrique Muñoz