O que é Ransomware (WannaCry entre outros) e como se proteger

Em um mundo onde nos encontramos cada vez mais online (a cada dia com mais força) onde muitos de nós nos sentimos muito confortáveis ​​com a forma como podemos realizar nossas tarefas diárias digitalmente. Devemos entender que tudo isso está mudando a vida de todos nós, pois dependemos totalmente desse mundo digital em todos os níveis, como nos negócios, nos sistemas públicos básicos necessários para qualquer país e até no pessoal de casa.

Para o bem ou para o mal, temos que estar atentos aos perigos que nos ameaçam, pois por exemplo hoje em dia não é necessário ir a uma agência bancária para fazer movimentos, mas tudo é feito através da plataforma da entidade, Já não utilizamos correspondência serviços uma vez que utilizamos redes sociais, mensagens de chat e email, estando ligados 24 horas por dia através de telemóveis e computadores.

Tudo está interligado a um clique de ser atualizado, para que as pessoas saibam o que, como ou onde estamos, entre outras funções e tarefas. O que não estamos nos perguntando é, Quão seguros estamos neste mundo online?, a resposta é simples, muito pouco certa.

A razão para isso é que, à medida que aumentam as opções para fazer tudo online, incluindo nossas tarefas diárias, também aumentam os intrusos, ataques, vírus de computador, etc. Todos eles são recebidos de diferentes formas e em múltiplas plataformas, onde mesmo que não tenhamos milhões de euros ou dólares em contas bancárias ou sejamos reconhecidos mundialmente, estamos sujeitos a sermos atacados de diferentes formas.

É por isso que hoje na Solvetic nos concentramos em explicar uma das ameaças que está na boca de todos devido aos seus ataques em todo o mundo, que embora não seja nova como muitos pensam, está dando um salto aos trancos e barrancos e à qual devemos estar. atento a todos os cuidados necessários.

Esta ameaça é chamada de Ransomware e esperamos que o momento de ler este artigo de sua parte não seja porque você já caiu nele, principalmente para que você possa se proteger um pouco mais, seja você uma empresa ou uma pessoa normal que quer evitar tanto quanto possível, este e outros tipos semelhantes de ameaças.

Nosso objetivo é que cada usuário ou empresa tome as medidas necessárias para evitar ser vítima deste ataque e seja sempre responsável por tudo o que fizermos na rede.

O que é RansomwareDa mesma forma que existe o sequestro de pessoas para fins econômicos, no mundo da informática o ransomware se tornou um ataque de sequestrador de dados Como esse ataque basicamente acessa nosso computador, criptografa todas as informações e exige uma certa quantia em dinheiro para sua recuperação, é simples assim.

A origem do nome "Ransomware" vem da combinação de duas palavras:

• Resgate (sequestro)
• ware (software)

Este ataque, também conhecido como rogueware ou scareware, vem afetando os usuários desde 2005. Embora tenha evoluído, diferentes tipos aparecem, aperfeiçoando e encontrando pontos fracos onde pode se espalhar facilmente. Deixamos para vocês um vídeo que explica de uma forma excepcional para entendê-lo em todos os níveis.

Como funciona o ransomwareO ransomware faz uso de uma série de etapas onde infelizmente a primeira é dada pela vítima ao executá-lo, estas etapas são:

• Verificação do sistema por meio de unidades USB, e-mails fraudulentos, etc.

• Instalação no sistema durante a execução do arquivo infectado.

• Seleção de arquivos para criptografar.

• Criptografia de dados selecionados atualmente usando RSA de 2048 bits.

• Mensagens para a vítima usando várias alternativas, de e-mails a mensagens de voz

• Aguardando pagamento através de meios como bitcoins, MoneyPak, Ukash e cashU, entre outros.

• Enviar as chaves de criptografia para a vítima, mas isso não é 100% seguro. (Podemos dizer que NÃO vão enviar para você, não recomendamos pagar).

Como podemos ver, é uma cadeia que podemos quebrar desde o início. No mundo da internet e digital, as pessoas deveriam ser ensinadas que é muito melhor sempre pensar mal e você terá razão. Desconfie e não seja um daqueles que abrem alegremente qualquer anexo recebido, ou entre em qualquer site e instale qualquer programa sem hesitação.

1. Tipos de ataque de ransomware

Existem alguns tipos desse ataque conhecidos mundialmente, como:

WannaCry ransomwareEste é ele Ransomware mais conhecido recentemente porque realizou ataques a muitas equipes de empresas e pessoas em todo o mundo. É um Ransomware Criptográfico mas vale a pena catalogá-lo à margem, já que tem saído como sabem nos noticiários de todo o mundo, devido a ataques realizados em diversos países. É importante comentar que isso não é novidade como muitos pensam, já que já se cozinha em várias equipes há muito tempo. Você pode ver na imagem a seguir onde estão sendo realizados.

Existem muitos vírus e ataques perigosos na Internet, mas WannaCry ransomware é um dos piores.

Basicamente, podemos dizer que o consideramos um dos piores porque realiza uma criptografia limpa de vários arquivos muito importantes com um algoritmo e chave poderosos, o que torna muito difícil tê-los novamente. Também é importante ressaltar a facilidade de execução que ele possui para transmiti-lo e executá-lo em todos os drives da rede.

Quero chorar O Decryptor penetra no seu computador, especialmente por e-mail, e quando você o executa sem perceber, ele criptografa as informações. O sério é que, uma vez que todos os arquivos do computador são criptografados, eles são replicados pela rede para outros servidores, computadores, etc. Tudo o que você conectou a unidades de rede também pode ser criptografado. Portanto, é normal que, uma vez que um computador seja infectado, ele se espalhe para praticamente todos na rede.

Para sua replicação aproveita lacunas nos sistemas, principalmente no Windows. Portanto, é recomendável mantê-los sempre atualizados com todos os patches, para evitar que seja tão fácil replicar de um lado para o outro.

Esse comportamento explica por que é recomendável desconectar os computadores para que a criptografia e a propagação não continuem. Por isso, em caso de infecção interna, a primeira coisa que geralmente as empresas pedem é desligar e desconectar todos os computadores, tudo para que não continuem criptografando arquivos e agravem o problema. Eles precisarão encontrar a origem e restaurar todos os computadores e servidores afetados.

Criptografar seus arquivos é uma técnica altamente exigida para proteger a privacidade de seus arquivos mais confidenciais. Este ataque usa algoritmos de criptografia muito fortes, que não podem ser quebrados se você não tiver a chave. Agora, mais tarde, vamos nos aprofundar neste tipo de Ransomware.

Crypto ransomwareEste tipo de ataque faz uso de algoritmos de nível avançado e sua principal função é bloquear arquivos do sistema onde para acessá-los devemos pagar uma quantia, às vezes alta, em dinheiro.

Dentro deste tipo encontramos CryptoLocker, Locky, TorrentLocker, também WannaCry etc.

MBR ransomwareSabemos que o MBR (Master Boot Record) gerencia a inicialização do sistema operacional e este tipo de ataque é responsável por modificar os valores dos setores de boot para evitar que o usuário inicie seu sistema operacional normalmente.

WinlockerEste ataque é baseado em SMS, mensagens de texto, através das quais requer o envio de uma mensagem de texto a um site de pagamento com um código atribuído para desbloquear os arquivos.

Serra de vaivémEste ataque é responsável por deletar arquivos periodicamente para que a vítima se sinta pressionada a pagar o resgate para não perder informações mais valiosas.

Com esse ataque, a cada hora, um arquivo é eliminado do computador até que o pagamento seja feito e, como um detalhe adicional, mas não encorajador, o quebra-cabeça remove até mil arquivos do sistema cada vez que o computador é reiniciado e acessa o sistema operacional.

KimcilwareCom este ataque estamos a ser vítimas de encriptação de dados nos nossos servidores web e para isso aproveita as vulnerabilidades do servidor e assim encripta bases de dados e ficheiros aí alojados, estabelecendo a inactividade do site.

MaktubEste é um ataque que se espalha através de e-mails fraudulentos e compacta os arquivos afetados antes de criptografá-los.

Tem o aspecto de um PDF ou ficheiro de texto, mas quando é executado, em segundo plano, sem que nos apercebamos, está instalado no computador e normalmente são necessárias grandes somas de dinheiro para a recuperação dos dados.

SimpleLocker, Linux.Encoder.1 e KeRangerEsses ataques basicamente cumprem seu papel em dispositivos móveis e de PC para bloquear seu conteúdo. SimpleLocker afeta o cartão SD de dispositivos Android criptografando arquivos. Linux.Encoder.1 e KeRanger lidam com criptografia de dados em sistemas operacionais Linux e Mac OS.

CerberPode ser um dos mais temerosos dos usuários, principalmente de sistemas Windows, já que esse ataque acessa o áudio do sistema operacional para emitir mensagens, e não propriamente motivacionais ou das últimas notícias da Microsoft.

Este ataque gera um arquivo VBS chamado "# DESCRIPTO MEUS ARQUIVOS # .vbs" que está em 12 idiomas diferentes e emite mensagens ameaçadoras e solicitando pagamento para recuperação de dados.

Como você pode ver, encontramos vários tipos de ataques de ransomware (Lembre-se de que existem e haverá muitos mais tipos) o que o torna uma ameaça latente e se ainda não acreditarmos, vamos olhar para estes dados, ele continuará a aumentar muito rapidamente:

• Existem cerca de 500.000 vítimas do ataque Cryptolocker no mundo.

• Uma organização na América do Sul pagou cerca de US $ 2.500 para recuperar seus dados.

• 1,44% dos usuários vítimas do TorrentLocker pagaram o resgate.

• Ataques estão ocorrendo em todo o mundo com o tipo WannaCry, onde o valor arrecadado até agora está entre cerca de US $ 7.500-25.000. (Não pague).

Como dissemos no início, não recomendamos pagar este resgate pela chave de criptografia usada. Não é 100% verificado que eles vão dar a você e, ao fazer isso, tenha em mente que você estará encorajando mais cibercriminosos a aparecerem quando você vir que há um "negócio" suculento para eles. Além disso, lembre-se de que pode haver algumas soluções mais práticas que explicaremos nas seções a seguir.

Já falamos do avanço da tecnologia, mas o ransomware também evoluiu, pois hoje existe o ataque PHP Ransomware ou WannaCry Ransomware, que criptografa todos os dados importantes e, em alguns casos, sem pedir resgate ou pagamento pelos dados criptografados, entre os quais estão arquivos com as seguintes extensões:

zip, rar, r00, r01, r02, r03, 7z, tar, gz, xlsx, doc, docx, pdf, pptx, mp3, iso entre outros que detalhamos nas seções seguintes.

Lembre-se de que eles irão aumentar ou variar e, portanto, não é bom pensar que um determinado tipo de arquivo está livre para ser "sequestrado".

2. Alvo de ransomware

Embora muitos ataques de ransomware ocorram no nível organizacional, onde as informações são muito mais sensíveis e confidenciais, os invasores que criam esses vírus não estabelecem limites, os usuários domésticos também são um ponto fraco por motivos como:

• Pouco ou nenhum conhecimento sobre segurança de computadores.

• Não ter aplicativos antivírus em seus sistemas operacionais.

• Tenha redes abertas e inseguras.

• Não crie backups constantes das informações.

• Não atualize o sistema operacional e os aplicativos de segurança regularmente.

• Pela utilização indevida de serviços de Internet.

Podemos não ter informações valiosas, mas se tivermos vítimas da criptografia de nossas informações Sem dúvida, seremos vítimas onde nos afetará o fato de podermos continuar nossas operações diárias de forma normal, como seja a nível educacional, pessoal ou empresarial.

Os criadores do ransomware também não foram esquecidos, na verdade, são o objetivo número 1, pois com eles obtêm as seguintes vantagens:

• Eles estão onde podem causar o maior dano, com um potencial econômico suculento para pagarem o resgate.

• Maior instabilidade ao criptografar folha de pagamento, finanças, RH, etc.

• Possibilidade de afetar um maior número de equipamentos e serviços.

• Vulnerabilidades apresentadas nos servidores ou computadores clientes.

• Para desestabilizar pontos importantes dos países, e se você não acredita nisso, veja as últimas notícias onde os Hospitais de Londres, empresas como a Telefónica na Espanha etc. foram afetados.

Podemos certificar que este é o novo formato de guerra mundialNão é disparar bombas, mas pode ser igual ou mais doloroso do que imaginamos.

Técnicas para espalhar RansomwareComo vimos anteriormente, existem vários tipos de ataque de ransomware e algumas das técnicas usadas para disseminá-los são:

• Envio de emails fraudulentos.

• Direcionando Web para sites falsos.

• Mensagens de texto.

• Vulnerabilidades encontradas no nível de segurança em servidores ou computadores clientes.

• Campanhas de publicidade maliciosas.

• Sites legais que possuem código malicioso em seu conteúdo.

• Propagação automática entre dispositivos.

3. Recomendações para nos proteger contra malware Ransomware

Dado que o ransomware exige muita força e é muito fácil ser vítima, há uma série de opções que nos ajudarão a estar atentos a este tipo de ataque e a evitar ser outra vítima. Algumas dicas são:

Faça uma cópia de segurançaPodemos dizer que é o mais importante a ser feito tanto nas organizações quanto no nível pessoal. Ter um backup nos salva de problemas não apenas de malware, vírus e ataques, mas também nos protege de erros físicos de hardware que podem ocorrer em discos, computadores, servidores, etc. Pelo que o backup é necessário e vital.

É uma solução a ser implementada constantemente e se possível em discos e drives externos, ou você tem a opção (a nível pessoal) de fazê-lo em locais como a nuvem, Dropbox, OneDrive, etc., mas o que recomendamos o a maioria são servidores ou unidades externas também teremos sempre a disponibilidade e integridade dos arquivos.

É importante informar que deve ser levado em consideração que este malware (worm) Ransomware ataca perfeitamente e também criptografa nas unidades que você conectou naquele momento, incluindo aquelas na nuvem, então lembre-se de desconectar essa conexão e não sempre o tenha conectado, se não estiver usando.

Vimos como este ataque de WannaCry ransomware (e outras versões anteriores) realizará uma criptografia das conexões na nuvem dos computadores que foram infectados. Eles foram replicados nas contas Dropbox, Google Drive ou OneDrive, porque estar conectado como uma unidade de rede poderia perfeitamente ver esses arquivos e, portanto, ser criptografados e excluídos. O bom é que nesses sistemas você tem a possibilidade de recuperar também os dados, pois uma vez que seus dados foram criptografados na nuvem eles também apagaram os arquivos originais, então se você foi infectado na nuvem, não se preocupe. é possível recuperá-los seguindo este tutorial.

Deixamos aqui as melhores formas de fazer backups, cópias de segurança nos diferentes sistemas que podemos ter. Sua informação vem primeiro, imagine o que aconteceria em caso de perdê-la, se for importante, não hesite e faça backups frequentes.

Deixamos mais alternativas gratuitas para programas de backup no Windows, Linux ou Mac.

Ver extensões de arquivoEste é um aspecto fundamental, pois os arquivos infectados são executáveis, .exe, e estão camuflados como arquivos PDF, DOC, XLS, etc., para que ao ativar a opção de ver as extensões saberemos se um arquivo é Solvetic.pdf ou Solvetic .pdf.exe (infectado).

Não abra e-mails suspeitos ou desconhecidosInfelizmente, deixamo-nos levar pelas aparências e abrimos emails falsos do nosso banco, rede social, faturas com PDF ou anexos do Excel com macros, etc. e por trás dele vem o arquivo infectado.

Muitas vezes recebemos mensagens de entidades oficiais indicando que temos problemas legais, ou do banco solicitando o registro das informações, outras indicando que temos mensagens de voz, etc., mas todas elas têm um anexo que esperam que cliquemos em, em segundo plano, infectar o computador.

Repetimos, muito cuidado nos anexos que abrimos, por padrão você deve sempre suspeitar. Na menor dúvida, recomendamos que você não o abra ou verifique antes de fazer isso:

• Veja bem o endereço de e-mail de envio do remetente completo (não apenas o nome falso que ele colocou).

• Visualize o tipo e a extensão do anexo. Mesmo se o remetente for conhecido, ele pode ter sido infectado e encaminha automaticamente o malware ou vírus com sua conta para toda a sua lista de contatos. (você uma possível vítima).

• Veja bem o texto e o assunto da mensagem antes de abri-la.

• Verifique o endereço IP do remetente e verifique o país de origem desse endereço, inserindo o endereço IP de uma web que localiza geograficamente de forma rápida e confortável.

Se você menos desconfia, não o abra, é melhor deixar de ser cauteloso e apagá-lo do que se infectar. Preste atenção aos avisos de spam que seu gerente de e-mail pode lhe dar.

PROLONGAR

Filtrar extensões .exe no e-mailNo caso de haver servidores de e-mail que permitam filtrar tipos de arquivos, o ideal é que Vamos filtrar todos os e-mails que contenham extensão .exe uma vez que podem ser arquivos infectados para roubar nossas informações pessoais.

Desative os arquivos executados a partir do caminho AppData ou LocalAppDataSe usarmos sistemas operacionais Windows, podemos criar regras no firewall e abrir ou fechar portas que impedem a execução de programas do caminho AppData ou LocalAppData já que a partir daí é um dos sites onde o Cryptolocker, entre outros tipos de Ransomware, instale o seu infecções. Se você for um administrador de sistemas Windows Server, poderá aplicar GPOs nos firewalls de todas as máquinas da rede.

Atualização constante do sistemaOs desenvolvedores de sistemas operacionais e de programas antivírus, antimalware e de segurança em geral, lançam periodicamente novas atualizações que incluem melhorias nas falhas de segurança e isso pode nos ajudar a evitar ser vítimas de ransomware.

Lembre-se de que é necessário e importante atualizar o sistema operacional e também os aplicativos de segurança.

Se você é um administrador de sistemas e gerencia empresas com servidores Windows Server, entre outros. Lembre-se que você pode controlar as atualizações de todos os computadores da sua empresa através do servidor com WSUS e forçá-los a decidir definindo horários que lhe interessam estarem sempre atualizados.

Use programas de bloqueio de complementosMuitos sites maliciosos criam janelas pop-up que exigem clicar nelas para poder fechá-las e, neste processo, podemos nos encontrar antes do download e instalação de uma ameaça de ransomware latente. Já estão integrados na maioria dos navegadores e é possível ativá-los nas opções de segurança.

A utilização destes programas evita que estas janelas sejam apresentadas e assim adquirimos um nível de segurança nos nossos sistemas.

Desativar RDPRDP (Remote Desktop Protocol) permite conectividade remota a outros computadores para fornecer assistência ou suporte, mas Ransomware pode usar este protocolo, mais especificamente Cryptolocker, WannaCry etc. para acessar computadores e infectá-los, daí a importância de evitar que esse protocolo seja habilitado caso não seja utilizado.

Este tutorial mostra como habilitar o RDP (Remote Desktop) no Windows 10, 8, 7. Basta seguir as etapas que explicam lá, mas na parte de marcar ou desmarcar, deixe-o desabilitado.

Desconecte-se da redeEm caso de execução de um arquivo suspeito, não devemos esperar até que o processo de instalação seja finalizado, pois não sabemos qual será a finalidade dele, neste caso o mais prudente e responsável é desconectar imediatamente da rede, wi-fi ou Ethernet, com o Isso evita a comunicação com o servidor que pode introduzir o vírus.

Podemos desabilitar o WiFi diretamente ou remover o cabo RJ45 que conectamos ao equipamento.

Desativar execução de macros no OfficeEsta é uma das formas mais comuns de infecção e execução de ransomware. Se você não estiver em um nível avançado onde usa macros no Microsoft Excel, Word, PowerPoint ou Outlook (em equipes de negócios é melhor desativá-las por padrão), recomendamos que você as desative.

Essas macros são inseridas em um arquivo simples .docx ou .xlsx ou em e-mails onde, simplesmente abrindo-as, você pode estar executando esse tipo de ransomware ou outro tipo de malware ou vírus.

Siga estas etapas para desativá-los:

• Desativar macros do Outlook

• Desativar macros Word, Excel e PowerPoint

Deixamos aqui mais informações oficiais da Microsoft sobre esse problema e o gerenciamento das configurações de segurança do Office.

Bloqueio de portaSabemos que as portas de um sistema operacional permitem ou não a comunicação entre o computador local e a rede externa.

É uma boa prática, se gerenciarmos servidores especialmente, bloquear as portas:

• UDP 137, 138

• TCP 139, 445 ou desative SMBv1.

No seguinte link da Microsoft, descobrimos como realizar este processo com segurança:

Use ShadowExplorerO objetivo do Wanna Decryptor 2.0 é remover todos os instantâneos do sistema assim que um arquivo .exe for executado após a infecção.

O ShadowExplorer nos permite ocultar esses instantâneos do ataque do Wanna Decryptor e, assim, ter um backup confiável em caso de ataque.

Essa ferramenta pode ser baixada no seguinte link:

4. Ferramentas para proteger ou recuperar arquivos criptografados de Ransomware

A Microsoft divulgou um comunicado sobre Ransom: Win32.WannaCrypt onde ele comenta que todos os usuários que usam software antivírus gratuito do Windows ou têm o sistema Windows Update ativo e atualizado para a versão mais recente, estão protegidos.

Eles recomendam que aqueles que possuem software anti-malware de qualquer outro provedor, entrem em contato com eles para confirmar o status de sua proteção.

Uma coisa boa é que a Microsoft também colocou uma atualização de segurança antes WannaCrypt ransomware disponível para todos os que possuem versões não suportadas do Windows, como Windows XP, Windows 8 e Windows Server 2003. Baixe e instale agora para se proteger!

Windows Server 2003 SP2 x64
Windows Server 2003 SP2 x86
Windows 8 x64
Windows 8 x86
Windows XP SP2 x64
Windows XP SP3 x86
Windows XP Embedded SP3 x86

Se você quiser ver outros sistemas como o Windows Vista ou o Windows Server 2008, verifique este link do mecanismo de pesquisa de atualização de segurança do Microsoft Windows. Você verá que este patch é referenciado (KB4012598).

Aqui está um guia oficial da Microsoft para o ataque de ransomware WannaCrypt.

Além de tudo isso, os desenvolvedores de aplicativos de segurança nos oferecem a possibilidade de baixar gratuitamente várias ferramentas que serão vitais para detectar ou descriptografar arquivos criptografados, obviamente não válidos para todos os tipos de Ransomware, mas eles continuarão a crescer desde aqueles que protegem em Segurança de TI também avançam e oferecem soluções. Lembre-se de que a maneira mais eficaz é restaurar os arquivos que nos criptografaram a partir do backup que fizemos, mas deixamos algumas ferramentas publicadas para poder descriptografá-lo:

• Solução Alcatraz Ransomware: Download
• Solução Apocalypse Ransomware: Download
• Solução BadBlock Ransomware: Download
• Solução de Ransomware Crypt888: Download
• Solução Legion Ransomware: Download
• Download da solução Cryptolocker Ransomware

Aqui você pode ver algumas opções de solução para descriptografar mais tipos de Ransomware para recuperar suas informações.

• Ferramentas Karspersky Ransomware
• Ferramentas Avast Ransomware
• Wanakiwi (Ferramenta que ajuda a descriptografar o WannaCry, lembre-se de não reiniciar depois de ter sido infectado e iniciar esta ferramenta. Você poderá recuperar informações no Windows XP, Windows 7 e Windows Server 2003, 2008).

Como proteção, devemos levar em consideração que anti-malware são básicos que todos os computadores devem ter além de um bom antivírus. Como recomendação de ferramentas anti-malware, recomendamos:

• Kaspersky WindowsUnlocker: Download
• Malwarebytes 3.0: Download
• OSHI Defender: Download
• Hitman Pro: Download
• BitDefender Anti-Crypto. Baixar
• Trendmicro Ransomware Screen Unlocker: Download
• Kit de ferramentas de experiência e mitigação aprimorada da Microsoft (EMET): Download

Também deixamos você anti-malware para Linux e Mac:

• LMD / Clamav (Linux)
• O melhor anti-malware (Mac)

Como uma ferramenta extra focada em proteção contra WannaCry Ransomware, nós recomendamos Ferramenta NoMoreCry pela ferramenta CCN-CERT porque permite impedir a execução de WannaCry Ransomware.

Devemos agradecer a eles por esta grande contribuição da CCN-CERT (CNI).

Esta ferramenta funciona em todas as versões do Windows e está disponível para uso por todas as empresas. O que ele faz é criar um mutex (algoritmo de exclusão mútua) no computador onde você o instala e impede a execução do código malicioso WannaCry 2.0.

Ferramenta CCN-CERT NoMoreCry está localizado na nuvem CCN-CERT, LORETO. Você encontrará um Script complementar que impede a execução de malware em computadores Windows (todas as versões, inglês e espanhol).

Simplesmente baixamos o arquivo NoMoreCry_mutex Y NoMoreCry-v0.4.exe (as versões serão atualizadas). E os dois arquivos devem estar na mesma pasta.

Ao executá-lo, aparecerá a seguinte mensagem:

Lembre-se de que toda vez que você efetuar login, deverá executá-lo novamente. CCN-CERT indica que a ferramenta deve ser executada após cada reinicialização. Portanto, recomendamos incluí-lo na inicialização do Windows (se for para alguém com um computador pessoal). Seria simplesmente adicionar esta ferramenta com seu atalho executável na pasta de programas de inicialização:

• + R
• Escreve: shell: startup e pressione Enter.
• Cole o atalho para esta ferramenta aqui.

Você também o tem em .MSI para colocá-lo no GPO. (Isso para administradores de sistemas). Esse processo também pode ser automatizado modificando o registro do Windows ou implementando políticas de GPO no domínio.

Como recomendação final de ferramentas de proteção. Claro, não vamos esquecer de ter um antivírus instalado nos diferentes sistemas operacionais que temos, nesses links colocamos o melhor deste ano e acima de tudo de graça, se você não se protege é porque você não quer.

• Antivírus grátis para Windows
• Free Linux Antivirus
• Antivírus grátis para Mac

As ferramentas de segurança têm o objetivo de proteger nossas informações contra ransomware, mas fundamentalmente o primeiro passo de proteção está em nós porque novos vírus, Trojans, malware, ataques etc. sempre continuarão a aparecer.

Lembre-se e mencionamos novamente, que na maioria desses ransomware, depois de criptografar seus arquivos, também apague o original, portanto, caso alguma técnica não funcione e você tenha sido o pouco responsável por não ter cópias de backup de seus dados, é possível tentar recuperar arquivos excluídos de seu computador (uma vez que o ransomware tenha sido eliminado, conforme explicado a seguir capítulo abaixo).

Para isso recomendamos que você tenha em mãos este outro tutorial com uma coleção de programas gratuitos para recuperar arquivos deletados.

5. Como Remover e Proteger o Ataque WannaCry Ransomware

WannaCry é um dos ransomware mais recentes que tem se espalhado no mundo e afeta organizações e usuários comuns, criptografando seus dados e exigindo grandes somas de dinheiro. Falamos muito neste tutorial sobre esse tipo de ransomware, mas nesta seção nos concentramos em como eliminá-lo depois de ser infectado por ele.

Se você é um daqueles que de repente aparece a janela com a mensagem acima, você está infectado:

Mensagem do WannaCry Ransomware (Inglês)
Opa, seus arquivos foram criptografados!

O que aconteceu ao meu computador?

Seus arquivos importantes são criptografados.

Muitos de seus documentos, fotos, vídeos, bancos de dados e outros arquivos não estão mais acessíveis porque foram criptografados. Talvez você esteja ocupado procurando uma maneira de recuperar seus arquivos, mas não perca tempo. Ninguém pode recuperar seus arquivos sem serviço de descriptografia.

Posso recuperar meus arquivos?

Certo. Garantimos que você pode recuperar todos os seus arquivos com segurança e facilidade. (Mas você não tem tempo suficiente). Você pode tentar descriptografar alguns de seus arquivos gratuitamente. Experimente agora clicando. Se você deseja descriptografar todos os seus arquivos, é necessário pagar.

Você tem apenas 3 dias para enviar o pagamento. Depois disso, o preço será duplicado. Além disso, se você não pagar em 7 dias, não poderá recuperar seus arquivos para sempre.

Mensagem de WannaCry Ransomware (espanhol)
Opa, seus arquivos foram criptografados!

O que aconteceu ao meu PC?

Seus arquivos importantes são criptografados.

Muitos de seus documentos, fotos, vídeos, bancos de dados e outros arquivos não estão mais acessíveis porque foram criptografados. Talvez você esteja ocupado procurando uma maneira de recuperar seus arquivos, mas não perca tempo. Ninguém pode recuperar seus arquivos sem o serviço de descriptografia.

Posso recuperar meus arquivos?

Claro. Garantimos que você pode recuperar todos os seus arquivos com segurança e facilidade. (Mas você não tem tempo suficiente). Você pode tentar descriptografar alguns de seus arquivos gratuitamente. Experimente agora clicando. Se quiser descriptografar todos os seus arquivos, você terá que pagar.

Você tem apenas 3 dias para enviar o pagamento. Depois disso, o preço dobrará. Além disso, se você não pagar em 7 dias, não poderá recuperar seus arquivos para sempre.

Se você perceber que sua empresa ou seus computadores possuem este ransomware, o que você terá que fazer é parar todos os computadores para que ele não seja replicado, nem continue a criptografar mais arquivos. Desconecte os computadores da rede e toque em revê-los para detectar a origem.

Para eliminar esse malware em um ambiente Windows 10, realizaremos o seguinte processo.

AtençãoSe você não estiver em um nível avançado, é melhor reinstalar o sistema e restaurar seus dados de uma cópia de backup para garantir que você ainda não esteja infectado.

Passo 1
Primeiramente devemos acessar em modo de segurança para evitar o início de alguns serviços e processos, para ver como acessar em modo de segurança podemos acessar o seguinte link:

Passo 2
Em segundo lugar, devemos acessar o gerenciador de tarefas clicando com o botão direito na barra de tarefas e selecionando a opção "Gerenciador de tarefas" correspondente.

Uma vez lá vamos para a aba Processos e devemos olhar para aqueles processos que não nos parecem normais, uma vez vistos clicaremos com o botão direito sobre ela e selecionaremos a opção "Abrir local do arquivo".

Este arquivo pode ser verificado com nosso software antivírus e / ou antimalware porque já sabemos o caminho e por isso temos dúvidas. Até este ponto, podemos determinar a integridade e confiabilidade do arquivo.

Caso não obtenhamos resultados, podemos ir ao arquivo hosts do sistema e aí verificar se estamos sendo vítimas.

Para isso, abrimos o menu Executar: (+ R) e insira a seguinte linha:

 notepad% windir% / system32 / Drivers / etc / hosts

Isso exibirá o arquivo hosts. Se você notar que novas entradas aparecem na parte inferior para endereços IP externos diferentes de 127.0.0.1 e você não os conhece, eles parecerão que foram adicionados pelo worm ransomware.

etapa 3
Além disso, podemos consultar que programas ou aplicativos estão fazendo login na inicialização do sistema, já que alguns arquivos infectados podem estar desde o início, para verificar isso, vamos até a guia Inicializar no Gerenciador de Tarefas e verificamos em detalhes quais aplicativos iniciam com o Windows 10:

Caso veja algo anormal, basta selecioná-lo e clicar no botão Desativar. Recomendamos que você veja o tutorial que colocamos para você porque ele ensina como gerenciá-lo.

Passo 4
Posteriormente, acessamos o editor de registro do Windows 10 usando a combinação de teclas + R e digitando o comando regedit.

Lá vamos nós para Editar / Pesquisar ou usar as teclas Ctrl + F e na janela exibida, procuraremos o nome do ransomware:

PROLONGAR

É importante ter em mente que não exclui registros que não sejam de vírus, pois isso afetaria a estabilidade do sistema. Devemos excluir todos os registros de vírus nos seguintes locais:

• % Dados do aplicativo%
• % LocalAppData%
• % Dados do Programa%
• % WinDir%
• % Temp%

Nesse momento seria interessante poder rodar aplicativos para analisar nossos equipamentos. Recomendamos revisar o quarto capítulo deste tutorial "Ferramentas para proteger ou recuperar arquivos criptografados de ransomware " uma vez que podemos encontrar ferramentas que podem ajudar a encontrar e resolver este ataque. Devemos sempre levar em consideração as recomendações comentadas para evitar cair na armadilha de um Ransomware.

Se você é um daqueles que não fez backup, lembre-se de que pode ser possível recuperar os dados excluídos, porque esse malware primeiro criptografa seus arquivos e depois os exclui. Depois de remover este ransomware, recomendamos o uso de ferramentas de recuperação de arquivos excluídos. Alguns você pode recuperar.

6. Como remover e proteger o ataque Wanna Decryptor 2.0 Ransomware

Desde 16/05/17, continuamos a ver muitas notícias sobre a propagação do ataque massivo de Ransomware com um vírus chamado Wanna Decrypt0r 2.0 que é hospedado nos computadores e também criptografa as informações usando uma combinação de algoritmos RSA e AES-128-CBC onde os arquivos infectados, que são criptografados, possuem automaticamente o extensão .WNCRY.

Portanto, quando tentarmos acessar o computador ou qualquer um desses arquivos, receberemos uma mensagem não tão gratificante:

O objetivo deste ataque massivo é atingir o maior número de vítimas e até agora temos os seguintes números:

• Mais de 150 países afetados.

• Mais de 200.000 pessoas atacadas em seus arquivos.

• Até agora, mais de US $ 55.000 foram perdidos no pagamento de "resgate" por seus arquivos.

O pior de tudo isso é que se teme que a ameaça continue a crescer. Quando o vírus afeta nossos arquivos, podemos ver que estes, como mencionamos, têm a extensão .WNCRY:

Podemos ver que um arquivo de texto chamado @ Please_Read_Me @ é criado, onde veremos as instruções fornecidas pelo invasor:

PROLONGAR

Podemos ver o seguinte:

Tudo se destina a nós pagarmos o valor mínimo, que é de US $ 300 para recuperar nossas informações, já que a chave que nos permite descriptografar os dados não está hospedada localmente, mas nos servidores do invasor.

Este vírus está atacando computadores com sistemas operacionais Windows em todas as suas versões:

• Windows 7, 8.1
• Windows 10
• Windows Vista SP2
• Windows Server 2008/2012/2016

A Solvetic quer analisar profundamente esta questão para evitar que cada um seja mais uma vítima deste massivo ataque a nível mundial e é por isso que tentamos continuar detalhando as variáveis ​​que aparecem e algumas formas de como será possível eliminar esta ameaça do nosso computador .

As recomendações já foram fornecidas em detalhes em outras seções acima deste manual, mas indicamos as fundamentais.

• Mantenha nossos sistemas operacionais atualizados.

• Não abra e-mails suspeitos.

• Evite baixar itens de sites P2P.

• Instale ferramentas antivírus.

• Se suspeitarmos de alguma atividade incomum, devemos desconectar o equipamento da rede imediatamente.

Como o Wanna Decryptor 2.0 se espalha
Esta é a pergunta básica que muitos usuários se colocam, pois em termos gerais somos cuidadosos com as informações que tratamos ou com os sites que visitamos. Bem, esse vírus se espalha de forma massiva e, como linha de base, usando e-mails.

Embora tenhamos falado muito sobre o assunto, é comum e não varia muito poder ser infectado ao ver várias notificações em nossa bandeja de spam, como:

• Notificações legais por qualquer autoridade indicando que encontraremos o motivo da intimação em anexo.

• Mensagens de nossas redes sociais indicando que temos novas mensagens.

• Solicitação de entidades financeiras para atualizar informações, etc.

Como saber se Wanna Decryptor 2.0 é Ransomware
A razão é muito simples, qualquer vírus que impeça o acesso normal às nossas informações ou ao nosso equipamento e solicite qualquer quantia de dinheiro para acesso é classificado como Ransomware.

O Wanna Decryptor 2.0 ataca as seguintes extensões, modificando-as para a extensão .WNCRY. O objetivo fundamental do Wanna Decryptor é criptografar arquivos importantes que são muito úteis para cada usuário ou empresa, como os seguintes:

• Extensões de aplicativo do Office: .ppt, .doc, .docx, .xlsx, .sx

• Extensões de aplicativo: .zip, .rar, .tar, .bz2, .mp4, .mkv

• Extensões de banco de dados: .sql, .accdb, .mdb, .dbf, .odb, .myd

• Extensões de correio: .eml, .msg, .ost, .pst, .edb

• Extensões de desenvolvedor: .php, .java, .cpp, .pas, .asm

• Chaves de criptografia e extensões de certificado: .key, .pfx, .pem, .p12, .csr, .gpg, .aes

• Extensões de design gráfico: vsd, .odg, .raw, .nef, .svg, .psd

• Extensões de máquina virtual: .vmx, .vmdk, .vdi

Como podemos ver, a ameaça é latente e ampla. Estamos especialmente preocupados com aqueles que afetam os principais servidores, como extensões de banco de dados, máquinas virtuais, arquivos vitais do servidor, como .php, .java etc. Isso pode causar uma parada talvez ainda mais extensa do que os arquivos mais simples de restaurar, como xlsx, pdf, docx etc.

Repetimos que isso continuará a evoluir e melhorar. Portanto, nunca vamos subestimar seu avanço.

Explicaremos em detalhes qual processo o Wanna Decryptor 2.0 executa para assumir o controle de nossos arquivos.

• Primeiro, o vírus grava uma pasta com caracteres aleatórios no caminho C: \ ProgramData com o nome tasksche.exe ou no caminho C: \ Windows com o nome de mssecsvc.exe e vocêaskche.exe.

• Depois que essas pastas forem gravadas, o vírus dará a esses arquivos controle total executando o seguinte:

 Icacls. / grant Todos: F / T / C / Q

• Em seguida, use o seguinte script para sua execução: XXXXXXXXXXXXXX.bat (altere X para números e / ou letras)

• Ele usará seus hashes, ou algoritmos de criptografia, do Wanna Decryptor 2.0. Neste ponto, podemos usar ferramentas como antivírus ou antimalware para localizar esses hashes e prosseguir com sua remoção do sistema.

• Para assumir o controle total, o Wanna Decryptor 2.0 usa serviços TOR ocultos com a extensão .onion da seguinte maneira:

 jhdtgsenv2riucmf.onion 57g734jdhclojinas.onion 76jdd2ir2embyv43.onion cwwnh33lz52maqm7.onion

Veremos assim como analisa todas as nossas unidades disponíveis até encontrarmos as referidas extensões de ficheiro e proceder à sua encriptação e respetivo pagamento. Como dissemos em outras versões sobre se é possível descriptografar arquivos criptografados por Wanna Decryptor 2.0 … dizemos novamente que a resposta é não devido ao nível de criptografia usado no processo de AES-265 com um método de criptografia RSA que é completo e não há nenhuma ferramenta, incluindo força bruta, capaz de descriptografar os dados.

Portanto, como já dissemos em outras seções, somos forçados a recuperar as informações de outras formas, como:

• Recupere as informações que foram criptografadas de cópias de backup feitas anteriormente.

• Recupere a informação original que foi deletada após sua criptografia por wanna decryptor 2.0. Quando somos atacados pelo Wanna Decryptor 2.0, ele primeiro cria uma cópia dos arquivos, então os criptografa e depois deleta os originais, assumindo o controle total. (Veja a seção sobre proteção de dados e ferramentas de recuperação)

• Use o Shadow Explorer previamente e teremos a possibilidade de resgatar arquivos apagados de volumes protegidos (Você tem o link de download na seção de recomendações para se proteger contra ransomware).

Como processo de eliminação, siga o padrão explicado anteriormente na seção WannaCry, entrando no modo seguro, verificando certas pastas onde está hospedado, eliminando a execução de serviços e programas na inicialização do Windows e analisando com a ferramenta mais antimalware que você quiser (MalwareBytes , Hitman Pro, Windows Defender Offline são vários dos muitos que temos disponíveis para esta verificação).

Por fim, se quiser saber em tempo real qual é o estado atual do Wanna Decryptor 2.0 e ficar atento ao andamento desse ataque com detalhes como computadores e usuários infectados, países onde o vírus esteve hospedado, entre outros, podemos acesse o seguinte link:

Isso será o que observamos:

PROLONGAR

Lá veremos o gráfico com os respectivos sites afetados, total de computadores afetados, etc. Na parte inferior, veremos os gráficos de como esse ataque aumentou em todo o mundo:

PROLONGAR

Recomendamos que você siga essas dicas e mantenha cópias de backup das informações mais relevantes atualizadas.

Vimos como estamos em um mundo inseguro que pode afetar nossas vidas a qualquer momento, mas se formos cautelosos e cuidadosos, certamente não seremos outra vítima de ransomware, pois toda a nossa segurança depende de nós.

Aqui estão mais tutoriais e artigos sobre segurança. Pedimos apenas que você compartilhe este tutorial para que todos possamos estar alertas e um pouco mais seguros face às ameaças às quais estamos diariamente expostos no uso da Internet. Continuaremos os tutoriais diários para todos vocês. Fique atento na Solvetic para soluções de TI e tecnologia, não só para segurança, mas para todos os campos e níveis.