Skip to content Skip to navigation Skip to footer

Defining Ransomware

Ransomware is malicious code that renders the files and/or operating environment of an endpoint unavailable—be it an end user device or a server—until a payment is made to the cybercriminal.

Cybercriminals use ransomware to take over devices or systems to extort money. Once the malware has been installed, the hacker controls and freezes you out of it until you pay a ransom. In the earliest versions of ransomware, the attackers claimed that after you paid the ransom, you would get a decryption key to regain control of your computer. 

The Evolution of Ransomware

Ransomware has evolved and now there are various types. Some ransomware just encrypt files while others that destroy file systems. Some cybercriminals are solely financially motivated and will indeed return systems to operation after payment. Other types of attackers aren’t and won’t restore operations after payment out of spite or, perhaps, for political or other reasons.

Currently, many ransomware campaigns employ multiple measures and methods to elicit payment. In addition to holding systems for ransom, some cybercriminals steal data and threaten to release it if  ransom is not paid. Other attackers even go so far as to contact the customers whose data they’ve stolen in an attempt to collect payment from them.

Ransomware attacks have crippled entire organizations for hours, days, or longer. The latest ransomware threat class requires much more than just a secure backup and proactive restore process.

Initially, protecting against ransomware with a secure backup and proactive restore process were often enough to get an organization off the hook. However, the latest versions of ransomware require more comprehensive security solutions.

Prevenção de ransomware

Há algumas notícias boas: os atuais e sofisticados ataques de ransomware de vários estágios oferecem várias oportunidades para que possíveis vítimas/organizações impeçam um ataque de ransomware antes que ele roube dados ou bloqueie computadores/arquivos. 

É claro que o ideal é impedir que um invasor ganhe uma posição sólida para começar sua missão, mas mesmo que ele consiga a invasão é fundamental identificar os estágios iniciais, como a descoberta da rede, as comunicações de comando e controle, o movimento lateral, a coleta e a preparação de dados, a exfiltração e a criptografia. Veja abaixo dicas sobre prevenção contra ransomware e como responder melhor a um ataque de ransomware.

9 Tips To Reduce Ransomware Risk

1. Nunca clique em links não verificados

Se um link estiver em um e-mail de spam ou em um site estranho, você deve evitá-lo. Hackers frequentemente disseminam ransomware por meio de um link malicioso que inicia o download de um malware. Depois que o malware estiver em seu computador, ele pode criptografar seus dados, apoderando-se deles e permitindo que sejam acessados apenas por quem tiver uma chave de descriptografia.

No entanto, o malware primeiramente precisa chegar ao seu computador e o método mais popular de espalhar ransomware é por meio de um link malicioso. Se um link não tiver sido verificado, é melhor não acessá-lo.

2. Verifique se há malware nos e-mails

O meio de se parar um vírus de ransomware ou outro malware começa com a varredura das comunicações por e-mail. Ferramentas de varredura de e-mail muitas vezes podem detectar software malicioso. Depois que a varredura detectar o malware, o e-mail pode ser descartado e nunca chegará até sua caixa de entrada. 

Normalmente, o malware no e-mail estará incorporado em um anexo ou dentro de um arquivo dentro do corpo do e-mail. Hackers são conhecidos por inserir imagens que parecem inocentes, mas quando você clica na imagem, ela instala ransomware em seu computador. Fazer a varredura em e-mails com esses tipos de arquivos pode impedir que seu dispositivo, ou outros em sua rede, seja infectado.

3. Use firewalls e segurança para data center

Firewalls podem ser uma boa solução para impedir ataques de ransomware. Os firewalls verificam o tráfego de ambas as pontas, examinando-o quanto a malware e outras ameaças. Dessa forma, um firewall pode verificar de onde veio um arquivo, para onde ele está indo e outras informações sobre sua trajetória e, em seguida, usar essas informações para saber a probabilidade de que o arquivo contenha um ransomware. 

Além disso, um firewall de próxima geração (NGFW) pode usar a inspeção profunda de pacotes (DPI) para examinar o conteúdo dos próprios dados, procurando ransomware e, em seguida, descartando qualquer arquivo que o contenha.

Com a segurança para data center, endpoints individuais são protegidos contra ameaças. Há certos tipos de tráfego que são mais propensos a conter ameaças e a segurança para data center pode impedir que seu dispositivo se envolva com esses tipos de dados. Além disso, os hackers podem usar aplicativos maliciosos para infectar seus endpoints com ransomware. A segurança para data center impedirá que endpoints designados executem esses tipos de aplicativos.

4. Faça download apenas de sites confiáveis

É comum que hackers coloquem malware em um site e, em seguida, usem o conteúdo ou a engenharia social para fazer um usuário clicar dentro do site. A engenharia social aplica pressão sobre o usuário, normalmente por meio do medo, para fazer com que ele realize a ação desejada, neste caso, clicar em um link malicioso.

Em muitos casos, o link em si pode parecer inocente. Se você não estiver familiarizado com o site ou se o Localizador uniforme de recursos (Uniform Resource Locator, URL) parecer suspeito, mesmo que pareça ser de um site confiável, você não deve acessá-lo. Os cibercriminosos muitas vezes criam sites falsos que parecem confiáveis. Sempre verifique duas vezes o URL de um site antes de baixar qualquer coisa dele.

5. Mantenha backups de dados importantes

Os invasores que usam ransomware gostam de se aproveitar de usuários que dependem de determinados dados para gerir suas organizações. Muitas vezes, como os dados desempenham um papel fundamental nas operações diárias, a vítima pode achar que faz mais sentido pagar pelo resgate para que possa recuperar o acesso aos seus dados. Você pode evitar essa tentação fazendo backup de seus dados importantes regularmente.

Se o backup de seus dados for feito em um dispositivo ou local que você não precisa que seu computador acesse, basta restaurar os dados necessários se um ataque for bem-sucedido. É importante que você faça backup de todos os dados essenciais com frequência porque se passar muito tempo é possível que os dados que você tenha sejam insuficientes para sustentar a continuidade de seus negócios.

6. Use uma VPN ao usar Wi-Fi público

O Wi-Fi público é conveniente porque é fácil de acessar, geralmente sem senha. Infelizmente, é fácil para os hackers usarem um Wi-Fi público para disseminar ransomware. Sempre que estiver em uma rede Wi-Fi pública, você deve usar uma rede privada virtual (VPN).

Uma VPN criptografa os dados que trafegam de e para seu dispositivo enquanto você está conectado à internet. Na verdade, uma VPN forma um “túnel” pelo qual seus dados passam. Para entrar nesse túnel, o usuário precisa ter uma chave de criptografia. Além disso, para ler os dados que passam pelo túnel, um hacker precisaria descriptografá-los. Para bloquear ransomware, a VPN impede que pessoas estranhas entrem em sua conexão e coloquem malware em sua navegação ou em seu computador.

7. Use software de segurança

O software de segurança pode ser uma ferramenta poderosa na prevenção contra ransomware. Portanto, ele é frequentemente incluído na lista das melhores práticas para evitar ransomware. O software de segurança verifica os arquivos que chegam ao seu computador oriundos da internet. Quando um arquivo malicioso é detectado, o software impede que ele entre no seu computador.

O software de segurança usa os perfis de ameaças conhecidas e os tipos de arquivos maliciosos para descobrir quais deles podem ser perigosos para o seu computador. Para se manter atualizado, o software de segurança geralmente é fornecido com atualizações regulares gratuitas. Elas podem ser instaladas automaticamente pelo provedor. À medida que o provedor toma conhecimento de novas ameaças, os perfis dessas ameaças são incluídos na atualização. Contanto que seu software seja atualizado periodicamente, você terá a melhor proteção que ele pode fornecer.

8. Não use dispositivos USB desconhecidos

Um dispositivo USB (Universal Serial Bus) pode ser usado para armazenar um arquivo malicioso que pode conter ransomware. Se o USB tiver um arquivo executável que possa infectar seu computador ou se o arquivo for iniciado automaticamente quando você inserir o dispositivo USB, pode levar muito pouco tempo para que um USB aparentemente inocente capture seu computador.

Os cibercriminosos podem abandonar um dispositivo USB, sabendo que algumas pessoas podem se sentir tentadas a pegá-lo e inseri-lo em seus computadores. O criminoso pode até mesmo imprimir uma etiqueta aparentemente inocente, fazendo com que o dispositivo pareça um presente gratuito de uma empresa de boa reputação. Se você encontrar um dispositivo USB, não o insira em seu computador. Os USBs mais seguros são aqueles comprados em uma loja e lacrados dentro de embalagens intactas.

9. Evite divulgar dados pessoais

Com os dados pessoais certos, um cibercriminoso pode criar várias armadilhas para instalar ransomware em seu computador ou enganá-lo para que você mesmo o instale em seu dispositivo. As pessoas geralmente usam em seus computadores as mesmas senhas que usam para sites e contas. Um criminoso cibernético pode usar seus dados pessoais para obter acesso a uma conta e, em seguida, usar essa senha para entrar em seu computador e instalar ransomware.

Se você evitar a divulgação de dados pessoais, será muito mais difícil para um invasor executar esse tipo de ataque, especialmente porque ele teria que encontrar outra maneira de descobrir suas senhas ou outras informações da conta. Os dados pessoais também incluem nomes de pessoas, animais de estimação ou os locais que você usa como respostas às perguntas de segurança para suas contas. 

2021 Ransomware Survey Report

How To Defend Against the Growing Challenge of Ransomware

Download our latest Ransomware Survey Report

Como responder a ataques de ransomware

Só porque um ataque de ransomware atingiu seu computador ou rede não significa que não haja nada que você possa fazer para melhorar a situação. Muitas vezes, você pode limitar os danos do ransomware ao agir rapidamente.

Isole

Isolar o ransomware é o primeiro passo que você deve dar. Isso pode evitar ataques leste-oeste, em que o ransomware se espalha de um dispositivo para outro por meio de suas conexões de rede. Primeiramente, você deve desligar o sistema que foi infectado. Desligar o sistema impede que ele seja usado pelo malware para espalhar ainda mais o ransomware. 

Você também deve desconectar todos os cabos de rede conectados ao dispositivo. Isso inclui qualquer coisa que conecte o dispositivo infectado à própria rede ou aos dispositivos na rede. Por exemplo, seu dispositivo pode estar conectado a uma impressora vinculada à rede de área local (LAN). Desligar a impressora pode impedir que ela seja usada para espalhar o ransomware.

Além dos cabos de hardware, você também deve desligar o Wi-Fi que atende à área infectada com o ransomware. A conexão Wi-Fi pode ser usada como canal para disseminar o ransomware para outros dispositivos conectados à mesma rede Wi-Fi. Desligar essa conexão pode impedir esse tipo de propagação leste-oeste antes que ela comece. No entanto, se ela já tiver começado quando você perceber que o computador foi infectado, cortar o Wi-Fi pode impedir uma disseminação ainda maior.

Os dispositivos de armazenamento conectados à rede também precisam ser desconectados imediatamente. O ransomware pode potencialmente encontrar o dispositivo de armazenamento e depois infectá-lo. Se isso acontecer, qualquer dispositivo que se conecte ao sistema de armazenamento pode ser infectado. Isso pode acontecer imediatamente ou em algum momento no futuro. Portanto, se você for vítima de um ataque de ransomware, é importante supor que todos os dispositivos de armazenamento foram infectados e limpá-los antes de permitir que quaisquer dispositivos em sua rede se conectem a eles.

Identifique

O próximo passo é determinar o tipo de malware usado para infectar seu sistema com ransomware. Em alguns casos, conhecer o tipo de malware usado pode ajudar uma equipe de resposta a incidentes a encontrar uma solução. As chaves de descriptografia de alguns ataques de ransomware já são conhecidas e saber o tipo de malware usado pode ajudar a equipe de resposta a descobrir se a chave de descriptografia já está disponível. Se estiver, a equipe pode usá-la para desbloquear seu computador, contornando o objetivo do invasor.

Além disso, o tipo de malware pode ajudar a determinar outras maneiras de lidar com a ameaça. Para entender suas opções de remediação, sua equipe de TI ou o consultor externo precisará saber com que tipo de malware se está lidando, tornando a identificação precoce uma etapa fundamental.

Remova o malware

Não é preciso dizer que você tem de remover o malware, mas a necessidade dessa etapa é menos importante do que o momento oportuno. É importante tentar remover o malware somente após as etapas anteriores, ou seja, o isolamento e a identificação, terem sido realizadas. Se você tentar remover o malware antes de isolá-lo, ele pode usar o tempo que você levar para desinstalá-lo para se disseminar para outros dispositivos conectados à rede.

Além disso, se você remover o malware antes que ele possa ser identificado, você pode perder a oportunidade de coletar informações sobre ele que possam ser úteis para sua equipe de resposta a incidentes, consultores externos ou autoridades policiais.

Depois de tomar as medidas anteriores, remover o malware pode impedir que ele atinja outros dispositivos. Mesmo que o computador não esteja mais conectado à rede, o malware pode ser disseminado posteriormente se não for removido.

Recupere os dados

Assim que o ataque tiver sido contido e seu computador tiver sido protegido e estiver livre de ameaças, você deve começar a recuperar seus dados. Isso pode ajudar a garantir a continuidade dos negócios e melhorar sua resiliência, especialmente se o backup dos dados tiver sido feito recentemente.

A recuperação bem-sucedida de dados depende de um programa de recuperação de dados adotado antes do ataque. Se o backup dos dados for feito várias vezes por dia, por exemplo, um ataque atrasará seu trabalho apenas algumas horas, na pior das hipóteses. Você pode usar serviços baseados em nuvem ou hardware no local para fazer backup de seus dados, desde que qualquer serviço que você use possa ser acessado de um dispositivo diferente. Garantir o acesso pode exigir o armazenamento seguro das informações de login, em vez de apenas nos dispositivos que acessam o armazenamento de backup.

Nunca pague o resgate

Quando um ataque de ransomware é bem-sucedido, pode ser tentador pagar o resgate. O usuário pode pensar que está perdendo mais dinheiro do que o invasor está pedindo à medida que o tempo passa. Por exemplo, se os sistemas essenciais forem desligados e os clientes não puderem fazer compras, as perdas podem facilmente chegar aos milhares. Se o invasor estiver pedindo algumas centenas de dólares, você pode achar que pagar seja a escolha prudente. No entanto, esse não é o caso.

Assim como ocorre com sequestradores e terroristas que mantêm humanos cativos, os hackers dependem que os ataques de ransomware consigam extorquir as vítimas. Se usuários suficientes se recusarem a pagar o resgate, os invasores podem pensar duas vezes antes de usar ransomware, investindo suas energias em um empreendimento potencialmente mais lucrativo. Portanto, quando você se recusa a pagar o resgate, está ajudando outras pessoas que poderiam ser alvos no futuro.

Além disso, se você pagar uma vez, os invasores sabem que é provável que você pague novamente quando se deparar com uma situação semelhante. Então, quando paga, você pode se identificar como alvo potencialmente lucrativo para ataques futuros.

Quando você deve pagar o resgate? (E quando não pagar)

Em termos gerais, você nunca deve pagar o resgate. O pagamento pode indicar ao invasor que ele pode extorquir você e sair ileso, fazendo com que ele volte posteriormente para um segundo ataque. Isso também prejudica outras pessoas, pois envia uma mensagem para a comunidade de hackers de que o ransomware ainda é um vetor de ataque eficaz. Além disso, lembre-se de que depois que o resgate for pago, não há garantia de que o invasor permitirá que você volte ao seu computador.

No entanto, falar pode ser mais fácil do que fazer, especialmente quando você não tem um plano de backup ou resiliência adequado. Embora nunca seja aconselhável pagar o resgate, você pode ter que ponderar as consequências antes de tomar uma decisão final. Você pode considerar os seguintes fatores:

  1. Quanto custará recuperar os dados perdidos?
  2. Caso seu seguro cibernético, se existir, ajude a cobrir parte do custo
  3. Qual a probabilidade de que o operador do ransomware específico do qual você foi alvo descriptografe os sistemas após o pagamento?

Como a Fortinet pode ajudar?

O Fortinet Security Fabric oferece uma ampla gama de produtos e serviços que podem ser implantados em toda a superfície de ataque digital e ao longo da cadeia de destruição cibernética para reduzir o risco e o impacto potencial do ransomware. Isso pode ajudar as organizações a se preparar e evitar incidentes com ransomware, detectar e responder a eles caso ocorram e aumentar as equipes internas conforme necessário.

A exposição atual de cada organização, o apetite por risco, a situação de licenciamento, as habilidades de segurança e outros fatores determinarão quais produtos e serviços são mais apropriados a um determinado momento, mas aqui estão algumas opções:

  1. Preparação: Serviço de preparação para incidentes, Gerenciamento de superfície de ataque, Simulação de ataque de violação do FortiTester. Treinamento de segurança da informação e Conscientização
  2. Prevenção: Firewall de próxima geração FortiGate, Gateway de segurança para e-mail FortiMail, Firewall de aplicativo web FortiWeb, Segurança moderna de endpoint FortiEDR, Análise de sandbox em linha FortiSandbox
  3. Detecção: FortiDeceptor, Detecção e resposta estendida FortiXDR, detecção e resposta de rede FortiNDR
  4. Resposta: FortiAnalyzer, FortiSIEM, FortiSOAR, Serviço de resposta a incidentes FortiGuard
  5. Aumento: FortiGuard SOCaaS, Detecção e resposta gerenciada FortiGuard