Vírus de ransomware

O que é o ransomware?

Os vírus de ransomware são uma categoria de malware que sabota os documentos, tornando-os inúteis, mantendo porém o acesso do usuário ao computador. O invasor do ransomware força suas vítimas a pagar um resgate através de métodos de pagamentos específicos, após os quais poderão conceder acesso das vítimas aos seus dados. Infelizmente não é possível descriptografar o ransomware usando ferramentas de remoção.

Ransomlockers são um tipo de malware relacionado que impede que os usuários acessem seus dispositivos ou dados, por meio do bloqueio de seus computadores. A vítima receberá uma mensagem que aparenta ser oficial, demandando uma "multa" para evitar que a vítima seja detida e para desbloquear seu computador.

Tipos de ransomware

Apesar desta não ser uma lista completa dos tipos de vírus do ransomware, aqui estão alguns exemplos.

Petya

Petya é um ransomware Cavalo de Troia que criptografa arquivos no computador comprometido. Semelhante ao WannaCry, o Petya utiliza a exploração EternalBlue como forma de se propagar. Porém, ele usa também técnicas clássicas de propagação pela rede de pequenas e médias empresas, resultando em infecção mesmo que elas tenham aplicado patches contra o EternalBlue.

Saiba mais

WannaCry

O WannaCry é muito mais perigoso do que outros tipos comuns de ransomware, devido à sua habilidade de se propagar na rede de uma empresa através da exploração de uma vulnerabilidade crítica em computadores Windows, que foi corrigida pela Microsoft em março de 2017 (MS17-010). A exploração, conhecida como "Eternal Blue", foi divulgada online em abril, na mais recente série de vazamentos promovidos por um grupo conhecido como "Shadow Brokers", que alega ter roubado dados do grupo de espionagem cibernética, Equation.

O WannaCry procura e criptografa 176 tipos de arquivos diferentes e adiciona a extensão .WCRY ao final do nome do arquivo. Ele então demanda que os usuários paguem US$300 de resgate em bitcoins. O bilhete de resgate indica que o valor do pagamento solicitado será dobrado após três dias. Se o pagamento não for efetuado após sete dias, ele alega que os arquivos criptografados serão excluídos. Porém, a Symantec não encontrou nenhum código no ransomware que permitisse a exclusão dos arquivos.

Saiba mais

Como os produtos da Symantec o protegem contra ransomware

Para bloquear o ransomware, é necessária uma proteção profunda em todos os pontos de controle

Email

Symantec Email Security.cloud, Symantec Messaging Gateway

  • Execute análises estáticas de indicadores maliciosos em arquivos e documentos
  • Detone scripts potencialmente maliciosos na área restrita, antes da entrega de email, e bloqueie
    caso haja sinais evidentes de comportamentos maliciosos
  • Bloqueie links maliciosos com rastreamento de links em tempo real, antes da entrega de email e análise de links serem clicadas, após a entrega

Web

Soluções do Symantec Secure Web Gateway1

  • Bloqueie sites maliciosos, incluindo servidor de criptografia, comando e controle
  • Analise arquivos para detectar comportamentos suspeitos de URL desconhecidos, em busca de atividades de ransomware, usando feeds de ameaças ao vivo e várias camadas
  • O Malware Analysis procura por comportamentos específicos de ransomware e detona arquivos desconhecidos em uma área restrita antes da entrega

Endpoint

Symantec Endpoint Protection 142, ATP: Endpoint (EDR)

  • Machine Learning avançado detecta malwares polimorfos
  • O emulador descompacta malware evasivo, enquanto a análise de comportamento revela as ações do ransomware
  • O IPS bloqueia a tentativa do ransomware de fazer o download de chaves de criptografia
  • Isole os endpoints quando um ransomware for detectado, a fim de prevenir movimentos laterais
  • Procure os indicadores de comprometimento (IoC) de ransomware em todos os endpoints

Carga de trabalho

Symantec Data Center Security: Server Advanced

  • Regras de IPS prontas para uso podem impedir que executáveis de ransomware sejam deixados ou executados no sistema
  • Os clientes que não utilizarem proteções do IPS completas podem implementar políticas para bloquear executáveis de malware específicos
  • Regras adicionais podem ser aplicadas para bloquear todo o tráfego de entrada e saída em pequenas e médias empresas
  • O ransomware pode também ser bloqueado com a adição de hashes executáveis em listas globais que bloqueiam a execução

Saiba mais

Relatório Symantec de Ameaças à Segurança na Internet 2018

Ransomware: mudança de status de celebridade para mercadoria, reduzindo preços e aumentando as variantes em 46%.

Ler o relatório

Blogs

WannaCry: ataques de ransomware indicam vínculos fortes com o grupo Lazarus

Semelhanças no código e na infraestrutura indicam uma forte conexão ao grupo vinculado aos ataques à Sony Pictures e ao Bangladesh Bank.

Uma estratégia de defesa integrada para lutar contra o ransomware em cada ponto de ataque

As avançadas soluções de proteção de ransomware da Symantec oferecem defesa integrada em TODOS os pontos de controle.

Data Center Security Server Advanced bloqueia o WannaCry

Saiba mais sobre como a Symantec oferece proteção contra o ransomware WannaCry.

Ransomware WannaCry: as dez principais formas pelas quais o Symantec Incident Response pode ajudar

Como a resposta a incidentes (IR) pode detectar, corrigir e proteger contra futuros ataques de ransomware.

Ransomware WannaCry: seis implicações para a indústria de seguros

Este artigo ilustra os novos riscos que as seguradoras enfrentam em relação aos ataques cibernéticos.

Arquivos bloqueados pelo WannaCry podem ser descriptografados: uma análise técnica

O worm ransomware WannaCry vem se destacando na mídia desde o início da sua propagação.

O que você precisa saber sobre o ransomware WannaCry

Saiba como este ataque de ransomware se propaga e como proteger a sua rede contra ataques semelhantes.

A Symantec protege seus clientes contra ransomware por meio de defesas em camadas em diferentes linhas de produtos, protegendo vários vetores de ataques e alvos, incluindo email, Web, endpoints e servidores de datacenters. A tecnologia SONAR de detecção comportamental protege também contra infecções de forma proativa.

Endpoint: Symantec Endpoint Protection e Norton
O Symantec Endpoint Protection (SEP) e o Norton bloquearam todas as tentativas de explorar a vulnerabilidade usadas pelo WannaCry desde 24 de abril, antes da primeira aparição dele, por meio de uma combinação de tecnologias. Na verdade, o recurso Machine Learning avançado do SEP bloqueou sozinho e de forma proativa todas as infecções do WannaCry no dia zero, sem nenhuma atualização. Todas as versões do SEP, incluindo SEP 14, SEP Cloud e SEP Small Business Edition, contam com essas proteções automáticas contra o WannaCry. Consulte a seção Detalhes e recomendações abaixo para obter mais informações.

Email: Symantec Email Security.cloud e Symantec Messaging GatewayOs produtos
Symantec Email Security.cloud e Symantec Messaging Gateway oferecem proteção automática contra o WannaCry para ataques baseados em emails.

Web: Symantec Secure Web Gateway
O Symantec Secure Web Gateway (SWG) bloqueia o acesso a sites maliciosos e downloads que possam conter ransomware. As soluções SWG incluem ProxySG, WSS, GIN, Content e Malware Analysis, Security Analytics e SSLV.

Carga de trabalho: Symantec Data Center Security: Server Advanced
As políticas de prevenção contra intrusões do Symantec Data Center Security: Server Advanced (DCS:SA) bloqueiam o WannaCry imediatamente. Todos os três níveis das políticas do Symantec DCS:SA; Windows 6.0 (e posterior) Basic, Reforço e Whitelisting impedem que o ataque de ransomware WannaCry insiram executáveis maliciosos nos sistemas. Os clientes que não implementarem recursos completos de prevenção contra intrusões podem aplicar políticas direcionadas à prevenção contra intrusões para bloquear a execução de ransomware.

Observação: consulte o post do blog de ransomware do Data Center Security Server para obter mais detalhes e instruções.

Endpoint Management: Symantec IT Management Suite
Symantec IT Management Suite (ITMS) oferece correções de vulnerabilidades e atualizações para endpoints e servidores de datacenters. A atualização de segurança para o patch do Microsoft Windows SMB Server (4013389), que protege contra o WannaCry, foi lançada em março pela Microsoft. A partir dessa data, o ITMS vem também oferecendo suporte.

Observação: o ITMS 7.5 aplicará o patch em sistemas do Windows 7/8.1, porém o ITMS 7.6 ou posterior será necessário para aplicar o patch em sistemas do Windows 10.

Cyber Security Services: os clientes podem aproveitar os benefícios do Symantec Managed Security Services para monitorar alertas do WannaCry e para detectar a propagação de ransomware em sua empresa. A Symantec pode oferecer também o Incident Response Services, que inclui serviços de preparação, busca e resposta às vítimas do WannaCry.

Examine a visão geral detalhada sobre como os produtos da Symantec protegem você contra o Wannacry e outros ransomware.

Detalhes e recomendações para os clientes do Symantec Endpoint Protection e do Norton

A Symantec recomenda que seus clientes ativem as seguintes tecnologias para obter proteção proativa e completa:

  • Prevenção contra intrusões
  • Tecnologia SONAR de detecção comportamental
  • Machine learning avançado

Observação: recomendamos que os clientes do Symantec Endpoint Protection migrem para o SEP 14, a fim de aproveitar as vantagens da proteção proativa, oferecidas pelo machine learning avançado.