O ransomware é tão pequeno quanto um grão de areia e está em toda parte. E eles podem criptografar mais do que você pensa. Ter seus arquivos pessoais destruídos é uma grande perda, mas quando o Ransomware ataca suas cópias, essa dor aumenta ainda mais.
Existem diversas variantes de ransomware que atacam não apenas os discos rígidos, mas também outras unidades do sistema, e as unidades na nuvem também não estão fora de vista. Portanto, é hora de você revisar exatamente o que são os backups de arquivos e também onde as cópias são mantidas.
Ataques de ransomware em todos os lugares
Sabemos que um ataque de ransomware pode ser devastador. O ransomware é um obstáculo específico porque seus arquivos alvo são fotos, músicas, filmes e documentos de todos os tipos. Seu disco rígido contém arquivos pessoais, de trabalho e comerciais que são os principais alvos da criptografia. Depois de criptografado, você verá uma mensagem de resgate exigindo pagamento - geralmente em Bitcoin difícil de rastrear - pela liberação segura de seus arquivos.
E mesmo assim, não há garantia de que você receberá a senha de criptografia ou a ferramenta de descriptografia.
CryptoLocker
CryptoLocker é uma variante do ransomware de criptografia que pode criptografar vários de seus discos rígidos. Apareceu pela primeira vez em 2013, espalhando-se através de anexos de e-mail infectados. Quando o CryptoLocker é instalado em um computador, ele pode verificar o disco rígido em busca de uma lista específica de extensões de arquivo. Além disso, verifica todas as unidades conectadas à máquina, seja USB ou de rede.
Uma unidade de rede com acesso de leitura/gravação será criptografada como um disco rígido. É um desafio para as empresas onde os funcionários acessam pastas de rede compartilhadas.
Felizmente, os pesquisadores de segurança divulgaram uma cópia do banco de dados de vítimas do CryptoLocker e compararam cada criptografia. Eles criaram o portal Decrypt CryptoLocker para ajudar as vítimas a descriptografar seus arquivos.
Evolução: CryptoFortress
O CryptoLocker apareceu e afirmou ter 500.000 vítimas. De acordo com Keith Jarvis, da Dell SecureWorks, o CryptoLocker pode ter recebido US$ 30 milhões nos primeiros 100 dias da operação de extorsão (subiria para US$ 150 milhões se cada vítima pagasse US$ 300 em resgate). No entanto, a remoção do CryptoLocker não é o começo da prevenção do ransomware de mapeamento de driver de rede.
O CryptoFortress foi descoberto em 2015 pelo pesquisador de segurança Kafein. Tem a aparência e abordagem do TorrentLocker, mas é um dos principais avanços; ele pode criptografar drivers de rede não mapeados.
Normalmente, o ransomware recupera uma lista de unidades de rede mapeadas, por exemplo, C:, D:, E:, etc. Em seguida, ele verifica as unidades, compara as extensões dos arquivos e depois os criptografa. Criptografe os arquivos correspondentes. Além disso, o CryptoFortress enumera todos os compartilhamentos de rede abertos do Server Message Block (SMB) e criptografa todos os que encontrar.
Locky
Locky é outra variante do ransomware, famoso por alterar arquivos individuais para .locky, bem como wallet.dat – a carteira do Bitcoin. Locky também tem como alvo arquivos em computadores ou arquivos em compartilhamentos de rede não mapeados, alterando arquivos no processo. Esse caos torna o processo de recuperação mais difícil.
Além disso, Locky não possui decodificador.
Ransomware na nuvem
O ransomware ignora a memória física da rede e do computador e também transcende os dados da nuvem. Esta é uma questão importante. O armazenamento em nuvem é frequentemente apontado como uma das opções de backup mais seguras, mantendo o backup dos dados longe de compartilhamentos de rede internos, criando isolamento dos perigos circundantes. Mas, infelizmente, as variantes de ransomware contornaram essa segurança.
De acordo com o relatório State of the Cloud da RightScale, 82% das empresas estão usando uma estratégia multi-cloud. E um estudo adicional (ebook Slideshare) da Intuit mostra que até 2020, 78% das pequenas empresas usarão recursos de nuvem. Essa mudança radical por parte de grandes e pequenas empresas torna os serviços em nuvem um alvo principal para fornecedores de ransomware.
Ransom_Cerber.cad
Os fornecedores de malware encontrarão uma maneira de contornar esse problema. A engenharia social e o phishing por e-mail são ferramentas essenciais e podem ser usadas para contornar controles de segurança robustos. Os pesquisadores de segurança da Trend Micro encontraram uma variante especial de ransomware chamada RANSOM_CERBER.CAD. Destina-se a usuários domésticos e empresariais do Microsoft 365, computação em nuvem e plataformas de produtividade.
A variante Cerber pode criptografar 442 tipos de arquivo usando uma combinação de AES-265 e RSA, modificar as configurações da zona do Internet Explorer no computador, remover cópias de sombra, desabilitar o Reparo de Inicialização do Windows e encerrar programas Outlook, The bat!, Thunderbird e Microsoft Word.
Além disso, e este é o comportamento apresentado por outras variantes de ransomware, o Cerber consulta a localização geográfica do sistema afetado. Se o sistema host for membro da Comunidade de Estados Independentes (países da antiga União Soviética, como Rússia, Moldávia e Bielorrússia), o ransomware será encerrado automaticamente.
A nuvem como ferramenta de contaminação
O ransomware Petya apareceu pela primeira vez em 2016. Algumas coisas notáveis sobre esta variante são: primeiro, Petya pode criptografar todo o Master Boot Record (MBR) de um computador pessoal, fazendo com que o sistema trave. Isso torna todo o sistema inutilizável. Então, após a reinicialização, a nota de resgate de Petya foi exibida, com a imagem de uma caveira e uma solicitação de pagamento em Bitcoin.
Em segundo lugar, o Petya se espalhou por vários sistemas por meio de um arquivo infectado armazenado no Dropbox, disfarçado de resumo. O link está disfarçado como detalhes do aplicativo, quando na verdade está vinculado a um arquivo executável auto-extraível para instalar o ransomware.
Felizmente, um programador anônimo encontrou uma maneira de quebrar a criptografia de Petya. Este método é capaz de detectar a chave de criptografia necessária para desbloquear o MBR e liberar os arquivos capturados.
Usar serviços em nuvem para espalhar ransomware é compreensível. Os usuários foram incentivados a usar soluções de armazenamento em nuvem para fazer backup de dados porque fornecem uma camada extra de segurança. A segurança é a chave para o sucesso dos serviços em nuvem. No entanto, a confiança dos utilizadores na segurança da nuvem pode ser explorada para fins nocivos.
Resumidamente
Armazenamento em nuvem, drivers de rede mapeados ou não mapeados e arquivos de sistema permanecem vulneráveis a ransomware. Isso não é mais uma coisa nova. No entanto, os distribuidores de malware visam ativamente os arquivos de backup, aumentando o nível de ansiedade dos usuários. Pelo contrário, devem ser tomadas precauções adicionais .
Usuários domésticos e empresariais devem fazer backup de arquivos importantes em discos rígidos removíveis. Agir agora é a ação que o ajudará a recuperar seu sistema após uma infecção indesejada por ransomware de uma fonte não confiável.
Você vê uma notificação de ativação do Windows 10 no canto direito da tela? Este artigo irá orientá-lo sobre como excluir o aviso de solicitação de direitos autorais no Windows 10.
Recentemente, a Microsoft lançou a atualização cumulativa mais recente para usuários de PC com Windows 10, chamada Build 14393.222. Esta atualização lançada para o Windows 10 corrige principalmente bugs com base no feedback do usuário e melhora a experiência de desempenho do sistema operacional.
Você tem computadores em sua rede local que precisam de acesso externo? Usar um host bastião como gatekeeper para sua rede pode ser uma boa solução.
Às vezes, pode ser necessário excluir logs de eventos antigos de uma só vez. Neste guia, Quantrimang.com mostrará três maneiras de excluir rapidamente todos os logs de eventos no Visualizador de Eventos do Windows 10.
Se você preferir usar um teclado clássico antigo, como o IBM Modelo M, que não inclui uma tecla física do Windows, existe um método fácil de adicionar mais, pegando emprestada uma tecla que você não usa com frequência.
WindowTop é uma ferramenta que tem a capacidade de escurecer todas as janelas de aplicativos e programas em execução em computadores com Windows 10. Ou você pode usar uma interface de fundo escuro no Windows.
Em muitos artigos anteriores, mencionamos que permanecer anônimo online é extremamente importante. Informações privadas vazam todos os anos, tornando a segurança online cada vez mais necessária. Essa também é a razão pela qual devemos usar endereços IP virtuais. Abaixo, aprenderemos sobre métodos para criar IPs falsos!
A barra de idiomas do Windows 8 é uma barra de ferramentas de idiomas em miniatura projetada para ser exibida automaticamente na tela da área de trabalho. No entanto, muitas pessoas desejam ocultar esta barra de idiomas na barra de tarefas.
Maximizar a velocidade da Internet é essencial para otimizar sua conexão de rede. Você pode ter uma ótima experiência de entretenimento e trabalho usando computadores, TVs com Internet, consoles de jogos, etc.
A conectividade sem fio é uma necessidade hoje e por isso a segurança sem fio é essencial para garantir a segurança da sua rede interna.
