Cryptowall: O malware que sequestra seus dados!

[netsouza83]

O assunto de código maliciosos que sequestram informações não é exatamente novidade.

 

Em setembro de 2013 tive um cliente que me ligou de Londres em um estado de espirito que pode ser descrito como desesperador. Seu computador havia sido invadido, os dados criptografados e a mensagem era bem clara: Pague 1 bitcoin, ou nunca mais terá acesso as suas informações.

 

Meu cliente não sabia sequer o que era um bitcoin e, enquanto investigávamos o incidente, o valor ia aumentando. Com apenas alguns dias já estava em 10 bicoins, que no valor de hoje equivale a USD 2.500,00 aproximadamente.

 

 

Na época ficou claro que só existiam duas opções: Ceder ao sequestro virtual e literalmente pagar para ver se os dados seriam liberados ou assumir o prejuízo de perder as informações. Felizmente existia um backup razoavelmente recente e o impacto pode ser absorvido sem maiores complicações.

 

É assim que funcionam os Ransomwares, códigos maliciosos especificamente projetados para sequestrar seus dados e extorquir um resgate. Existem dois tipos mais comuns: Os que bloqueiam a tela do seu computador ou dispositivo móvel ou aqueles que simplesmente criptografam todos os dados armazenados localmente. CryptoLocker, CryptoWall, TeslaCrypttodas versões mais recentes tem um princípio básico: separar você do seu dinheiro.

 

 

Como profissional de segurança, tenho por filosofia não tolerar negociação na base da extorsão, mas isso é algo mais fácil de falar do que fazer. Afinal, o que vale mais? USD 300, 600, 1000 ou fotos irrecuperáveis do seu filho quando recém-nascido? E aquele artigo do seu doutorado que você vem trabalhando por um ano e precisa entregar na semana que vem? É difícil quantificar bits e bytes, especialmente quando não estão ligados a processos de negócio.

 

A melhor dica para essa situação é bem simples: Não seja pego! Se for, esteja preparado.

 

As formas de evitar as armadilhas dos Ransomwares são exatamente as mesmas para qualquer outro tipo de código malicioso:

 

1. Mantenha seu sistema operacional sempre bem atualizado e com as últimas correções de segurança;

2. Habilite um firewall pessoal;

3. Tenha um bom antivírus – existem excelentes opções gratuitas como o 360 Total Security ou o Sophos para Android – e não esqueça de sempre manter as assinaturas de vírus atualizadas;

4. Cuidado com downloads, e-mails com anexos e links suspeitos em redes sociais, sites duvidosos, todos esses podem ser a porta de entrada para códigos maliciosos;

5. Faça backups regularmente, hoje existem diversas opções para se manter dados na nuvem, mas recomendo não deixar de ter um backup off-line sempre à mão.

 

Ok, e se eu esquecer de seguir as dicas acima e for vítima de um Ransomware, o que eu faço?

 

Bem, essa é a hora em que seus dados estão literalmente nas mãos de criminosos, geralmente bem organizados como o sr. Evgeniy Mikhailovich Bogachev, um russo na lista de procurados do FBI justamente por comandar uma rede especializada em fraudes e golpes com códigos maliciosos.

 

 

Nessa hora é essencial manter a calma. Em sua maioria os Ransomwares não são ataques destinados a roubar informações, você “apenas” perde o acesso a elas. Se você não tem um backup disponível, considere o valor do conteúdo sequestrado. Você pode recriar? Vai afetar seu negócio ou vida pessoal? Na dúvida, entre em contato com um bom profissional de segurança

 

Se você não tem outra opção e precisa recuperar as informações, infelizmente a única forma é ceder e pagar. Infelizmente isso tem acontecido comumente: de acordo com o FBI, o prejuízo estimado – apenas com o Cryptowall – entre abril de 2014 e junho de 2015 foi de aproximadamente USD 18.000.000,00.

 

Fonte: http://www.profissionaisti.com.br/2015/07/cryptowall-o-malware-que-sequestra-seus-dados/

 

Autor: Cláudio Dodt - claudiododt.com

 

[gustavobard]

Um cliente meu já pegou uma merdinha dessa num servidor velho que tinha, sequestrou todos os db's que tinha nele, inclusive os backups. O que salvou foi um backup que era feito pela rede,  em outro terminal. A causa desse ataque: a senha do administrador era 123 kkkk

[netsouza83]

gustavobard

 

Também enfrentei essa praga, mas infelizmente o cliente não tinha backups muito recentes e o prejuízo foi grande. no caso dele a infecção se deu por meio de um e-mail infectado .