Como funcionam os ataques de ransomware:
- O malware chega a um computador ou dispositivo móvel de várias maneiras. Você recebe um e-mail que parece ser de uma fonte confiável e, portanto, abre um anexo ou clica em um link que infecta sua máquina. Ou você clica em um anúncio online de aparência legítima que, na verdade, o redireciona para um site que infecta automaticamente sua máquina. Ou você conecta uma unidade USB infectada em sua máquina. Ou você visita um site que provavelmente não deveria (como um que distribui filmes e videogames piratas) e baixa um arquivo infectado.
- A infecção de ransomware começa a criptografar silenciosamente todos os arquivos que pode encontrar em seu disco rígido. Ele também pode se espalhar para outras máquinas em sua rede: servidores de aplicativos, servidores de backup e PCs de colegas. Quando termina esse trabalho, ele congela seu computador e exibe uma mensagem: “Nós criptografamos todos os seus arquivos; envie-nos milhares de dólares em BitCoin para obter a chave de descriptografia, ou você nunca verá esses arquivos novamente. ” Eles estão certos: sem essa chave, você nunca poderá recuperar seus dados.
As defesas mais comuns contra ataques de ransomware
• Antivírus / antimalware: o software verifica cada arquivo que chega à sua máquina e compara esse arquivo com seu banco de dados de malware. E ao encontrar algo suspeito ele livra-se disso.
• Detectores de anomalias comportamentais. Funcionam como a Vigilância da Vizinhança local, monitorando o sistema quanto a comportamentos normais e esperados e atuando para neutralizar um processo apenas quando ele faz algo suspeito.
• Caixas de proteção (Sandbox). Eles são semelhantes a uma quarentena de doenças transmissíveis: eles permitirão que um novo processo seja executado em um ambiente protegido por paredes de uma máquina virtual dentro de seu sistema. Se nada de ruim acontecer, o processo pode ser executado fora da sandbox.
• Listas de permissões de aplicativos. Pense neles como os seguranças do clube com uma lista de convidados muito rígida. Os funcionários de TI criam uma lista de aplicativos conhecidos e confiáveis e só permitem que eles sejam executados em sua máquina. Não está na lista? Entrada proibida.
• Scanners anti-spam e anti-phishing. Essas medidas tentam filtrar mensagens, links e anexos que podem convidar malware em seu sistema. Pense neles como oficiais de segurança do aeroporto, examinando a multidão em busca de pessoas que parecem inquietas e suadas.
Todas essas são boas medidas para implantar, e fazem parte de uma estratégia de defesa com profundidade adequada, embora a maioria seja implantada apenas por empresas: poucos consumidores instalam algo mais do que antivírus. No entanto, cada uma das medidas listadas tem pontos fracos que os disseminadores de ransomware são muito espertos em explorar.
Fraquezas comuns das defesas de ransomware
• Os verificadores anti-malware podem ser enganados. Pois, sempre há uma janela entre o momento em que um novo malware é lançado e o momento em que os pesquisadores de segurança o descobrem e adicionam sua assinatura a seus bancos de dados.
• Os disseminadores de ransomware trabalham duro para escapar de softwares de detecção comportamental e sandboxes de aplicativos. Se o malware descobrir que está sob a analise de um detector comportamental ou sandbox, ele atrasará sua detonação. Mesmo um monitor comportamental de ação rápida pode não ser capaz de detectar um ataque de ransomware até que um grande número de arquivos valiosos já tenha sido criptografado.
• As listas de bloqueio de aplicativos podem ser eficazes, mas exigem uma automação significativa e a capacidade de lidar com exceções de maneira inteligente. Sem dedicar recursos de TI para gerenciá-los ou obter uma solução como a antihacking da Unodata, diligentemente eles podem se tornar um obstáculo para a produtividade do usuário.
• Filtros anti-spam e anti-phishing valem a pena. Enquanto e-mails maliciosos chegam aos usuários finais, alguém será imprudente o suficiente para clicar em um link ou abrir um anexo que não deveria. Uma vez que uma única máquina é violada, o ransomware pode frequentemente se espalhar para endpoints próximos na rede.
CloudBackup – o método mais confiável para se recuperar de um ataque de ransomware
Portanto, enfrentamos um cabo de guerra entre os ransomwares e as empresas e, dadas as estatísticas (projeta-se que os bandidos ganhem cerca de US$ 1 bilhão todos anos). A boa notícia é que existe um método infalível para a recuperação de uma violação de ransomware: cloudbackup híbrido que combina backups locais (locais) e também mantém cópias de backup em uma nuvem privada ou pública.
Na sequência de um ataque de ransomware, um regime de backup torna possível viajar virtualmente de volta no tempo ao ponto anterior à ocorrência da infiltração. Os backups de rotina permitem a restauração de qualquer sistema infectado por ransomware para um estado limpo antes da violação. Para se proteger contra variantes de ransomware que podem se espalhar pela rede local, você também terá que manter backups em um local externo, geralmente uma nuvem privada ou pública. A opção de realizar backups bare-metal – o tipo que restaura totalmente o sistema operacional, todos os aplicativos e todos os dados do usuário – garante ainda mais que um sistema infectado possa ser restaurado para um estado limpo.
Resumindo, ainda é uma boa ideia investir em medidas de segurança de endpoint e treinamento de conscientização do usuário para derrotar o ransomware. Mas, no final, é provável que algo escape e, quando isso acontecer, você não terá escolha ao não ser pagar para recuperar seus arquivos. (Observe que o pagamento não garante a recuperação – alguns ladrões particularmente terríveis simplesmente excluirão seus arquivos mesmo após receberem o dinheiro.) Mas a abordagem mais simples, garantida e à prova de falhas é a proteção de dados que combina backups locais e baseados em nuvem.
Conheça o Lifeguard, a opção de cloudbackup da Unodata
Fonte: https://www.acronis.com/en-us/blog/posts/there-are-many-ways-repel-ransomware-only-one-way-defeat-it
