O GUIA #COMPLETO PARA #RANSOMWARE Tudo o Que Você Precisa Saber para Prevenir, Stop, e recuperar de ataques ransomware

Ransomware é a Preocupação de Segurança # 1

Indo para 2017, ransomware encabeça a lista de preocupações de segurança para profissionais de TI, e por boas razões: em 2016 vimos um crescimento maciço, tanto na variedade e frequência de ataques ransomware. Neste guia, descreveremos tudo o que você precisa saber sobre a tendência do ransomware, como proteger sua organização de uma infecção eo que fazer se sofrer um ataque de ransomware bem-sucedido.
Conteúdo: Quero ...
SEÇÃO 1

O que é ransomware?
E como ele está evoluindo?

Em termos gerais, ransomware é um software malicioso projetado para bloquear a tela de uma vítima (ransomware de armários) ou criptografar seus arquivos (crypto-ransomware). As infecções ransomware bem-sucedidas permitem que os criminosos exigem o pagamento da vítima (geralmente em Bitcoin anônimo) em troca de restaurar o acesso.
Termos vamos evitar:
cripto-ransomwares, cryptoviruses e CryptoLockers, oh meu!
Agora que temos uma definição geral de ransomware para baixo, apenas algumas notas mais sobre a terminologia antes de avançar (sinta-se livre para avançar se a terminologia não é a sua coisa).
Crypto-ransomware
Casos de ransomware tela de bloqueio têm sido em declínio significativo há alguns anos. Compare isso com o crescimento explosivo que vimos em cripto-ransomware e geralmente é seguro assumir quando alguém diz "ransomware" eles estão se referindo a cripto-ransomware. Isso vale para este guia, também. Vamos concordar a partir deste ponto em que vamos apenas dizer "ransomware" e soltar o "cripto". Parece bom? Ótimo!
Cryptoviruses
Sem ficar muito distante explicando as diferenças entre malware e vírus (versão curta: um vírus é um tipo de malware com características parasitárias distintas), basta dizer que a maioria das vezes quando as pessoas usam "criptovírus" eles estão simplesmente se referindo a ransomware, também. É geralmente um pouco de um equívoco, embora existam algumas variantes ransomware que se auto-propagar e se espalhar como vírus. Mais sobre isso mais tarde. Entretanto, vamos adiar o termo "criptovírus", também (pelo menos para este guia).
CryptoLocker
Esta foi uma das primeiras famílias de ransomware a ganhar notoriedade pública generalizada quando apareceu em 2013. Como tal, você muitas vezes ainda ouvir as pessoas usam "CryptoLocker" como um substituto geral para "ransomware", mesmo que CryptoLocker é oficialmente não mais ativo. Neste guia, qualquer uso subsequente de "CryptoLocker" refere-se especificamente à estirpe, não a ransomware em geral.

3 das variantes ativas mais proeminentes do ransomware

Nota: Se você estiver procurando por um conjunto mais abrangente de write-ups sobre os mais recentes variantes de ransomware, emite sinais de computador de "A Semana em ransomware" é um grande recurso. Você também pode obter uma sensação para a atividade ransomware atual e campanhas, verificando Ransomware perseguidor , uma lista ao vivo de sites de distribuição de ransomware e comando botnet e servidores de controle (os computadores dizendo um monte de computadores infectados que fazer).
Aqui estão breves descrições de algumas das famílias de ransomware mais notórias de hoje:
Locky
Simplificando, 2016 foi o ano de Locky. Primeiro observado em fevereiro, ele rapidamente se tornou a mais prolífica ransomware estirpe sendo entregue.
2016 mais ativos ransomware variants.png
Ao longo de 2016, Locky deixou outras variantes de ransomware no pó PhishMe Q3 2016 Malware Relatório
Distribuição de Locky tem sido fortemente amarrada ao phishing campanhas de e-mail enviados pelo botnet Necurs, uma das maiores redes mundiais de computadores infectados (quando Necurs experimentaram interrupções temporárias em Junho de 2016 e novamente em Janeiro de 2017, locky infecções caiu ). Infelizmente, essas interrupções não duraram por muito tempo, e cada vez que Necurs voltou on-line, as infecções Locky aumentaram.

Como Locky infecta as vítimas

O Locky normalmente é entregue através de campanhas de phishing e-mail que enganam os usuários para abrir documentos maliciosos do Microsoft Office e ativar macros ou abrir anexos JavaScript. Mais recentemente, os executáveis ​​do Locky foram entregues como arquivos de script do Windows e DLLs.
Locky ransomware email attachments.png
Locky responsável por quase todas as cargas de e-mail maliciosos identificados no Q3 Proofpoint Q3 2016 Resumo Threat
Uma vez executado, o Locky criptografa arquivos e os renomeia com uma extensão .locky. A popularidade eo sucesso de Locky resultou em várias atualizações e spin-offs, no entanto, incluindo versões que renomear arquivos com extensões .zepto, .odin, .thor e .osiris.
Além de escanear unidades locais para arquivos para criptografar, o Locky também criptografa arquivos em compartilhamentos de rede (mesmo não mapeados) e exclui cópias de volume de sombra para que eles não possam ser usados ​​em tentativas de restauração. As atualizações do Locky incorporaram mudanças como criptografia off-line e várias técnicas evasivas (ex: reconhecendo e evitando ambientes de sandboxing).
Não há atualmente nenhuma maneira de descriptografar arquivos que foram criptografados por Locky sem pagar o resgate. As opções de recuperação estão limitadas à restauração do backup. É por isso que a melhor maneira de proteger sua organização contra Locky é para evitar que o desembarque em máquinas em primeiro lugar ou - como uma última linha de defesa - pará-lo em tempo de execução .
Nota: Apesar das freqüentes modificações, Barkly pára mesmo novas variantes, nunca vistas antes de Locky e outros ransomware, reconhecendo o seu comportamento e desligá-lo antes que ele possa fazer qualquer dano. Veja-o em ação contra a variante Zepto de Locky abaixo:
Cerber
Cerber-wallpaper.png
Cerber resgate tela do computador emite sinais
Outra variante ransomware fazendo sua estréia em 2016, Cerber se destaca de Locky e outras famílias de ransomware duas maneiras distintas: 1) que ele contém VBScript que faz computadores das vítimas, na verdade, falar com eles ; 2) que foi lançado como uma operação de ransomware-as-a-service que permite que qualquer pessoa para distribuí-lo em troca de um corte de 40 por cento de todos os resgates pagos.
Pesquisadores da Check Point estimativa de lucros gerados a partir de Cerber eram aproximadamente $ 195.000 em julho de 2016 sozinho, tornando-se uma fonte de $ 2300000 dólares de renda para os criminosos por ano.
Versões anteriores do Cerber renomearam arquivos criptografados com uma extensão .cerber. As versões mais recentes agora adicionar uma extensão de arquivo aleatório e também desenvolveu a capacidade de matar as bases de dados , a fim de criptografar arquivos de banco de dados.
Enquanto as ferramentas de descriptografia estavam temporariamente disponíveis para versões anteriores do Cerber, nenhuma está disponível para a versão atual.
CryptXXX
Cryptxxx ransom screen.jpg
CryptXXX tela resgate TrendMicro
CryptXXX é um trojan ransomware que ganhou destaque após as pessoas por trás TeslaCrypt ransomware separou-se . TeslaCrypt tinha sido principalmente entregue através do Angler e kits de exploração Neutrino. Com ele foi, CryptXXX rapidamente se tornou um dos go-to ransomware cargas úteis para ambos (até Angler foi de barriga para cima em junho ).
Quando infectado com CryptXXX, os arquivos criptografados da vítima são renomeados com uma extensão .crypt. Versões atualizadas do CryptXXX até a ante, incluindo também credencial roubar capacidades.
Pesquisadores da Kaspersky criaram várias ferramentas projetadas para descriptografar arquivos criptografados pelo CryptXXX, apenas para que os autores do ransomware façam atualizações que os tornem ineficazes. O decodificador para a versão mais atual pode ser encontrada aqui (ele trabalha para agora, mas com base no historial não há como dizer quanto tempo vai).

Outras variantes notáveis ​​ransomware que levam as coisas até um entalhe

Petya
Por que criptografar arquivos individuais quando você pode bloquear alguém fora de seu computador completamente? Petya ransomware faz exatamente isso, criptografando a tabela de arquivos mestre. O resultado é um sistema que não funciona e que requer uma máquina cheia reimaginar se o resgate não é pago.
A boa notícia é que há uma ferramenta de descriptografia disponíveis para Petya . A má notícia é que há uma nova versão modificada do Petya chamado Goldeneye fazendo as rondas. Ao contrário de Petya, não há atualmente nenhuma ferramenta do decryptor para Goldeneye disponível.
Sombra
É criptografar os arquivos de uma vítima e exigindo que eles paguem sempre a melhor maneira de ganhar dinheiro com eles? E se você pudesse usar as informações que você estaria criptografando para um dia de pagamento ainda maior? Essa é a pergunta que os criadores por trás do Shadow de Ransomware se perguntaram, e eles decidiram que queriam ter as duas coisas.
Antes de ele criptografa arquivos da vítima, Sombra irá verificar o computador em busca de sinais de contabilidade ou actividade bancária. Se os encontrar, ele instala ferramentas de controle remoto que os invasores podem usar para tentar obter acesso às finanças da vítima.
Uma ferramenta decodificador está disponível para recuperar arquivos criptografados por Sombra . Mas se Shade instalou credenciais e ferramentas de controle remoto, infelizmente não será de muita utilidade.
Nota: Para mais informações sobre ataques de ransomware multi-estágio, que também incorporam o roubo de credenciais e outras atividades comprometedoras, ver o nosso bate-papo Malware sobre o tema .
Virlock
Por que infectar um usuário quando você pode infectar toda uma organização? Essa é a meta que os criadores da VirLock têm em mente. O VirLock é um ransomware que também atua como um vírus parasítico, infectando arquivos e se espalhando por sistemas criando novas e exclusivas versões de si mesmo toda vez que um arquivo é executado. Isso torna a detecção e o bloqueio do VirLock à moda antiga - escaneando um arquivo para ver se ele corresponde a uma assinatura maliciosa conhecida - é ineficaz.
A última versão do Virlock leva o seu jogo de criptografia para a nuvem , espalhando-se através de redes via armazenamento em nuvem e aplicativos de colaboração. Basta um usuário abrir um arquivo infectado em uma pasta compartilhada e cada arquivo em seu computador (e todas as outras pastas compartilhadas que eles têm acesso) pode ser criptografado.

Como os ataques ransomware estão evoluindo: 5 tendências para assistir

Tendência # 1: os ataques do Ransomware estão se tornando mais freqüentes
Com mais criminosos se tornando ransomware como uma fonte de renda, não é surpresa ataques estão em alta, especialmente ataques dirigidos empresas. Por quê? Como o infame ladrão de bancos americano Willie Sutton explicou quando perguntado por que ele roubou bancos, "Porque é onde está o dinheiro".

Você sabia?

Ataques em negócios aumentaram 3x em 2016. Uma empresa é atingido com ransomware a cada 40 segundos.
Não ajuda que mais operações do ransomware-como-um-serviço (RaaS) estão estalando acima, fazendo mais fácil do que nunca para criminosos - mesmo aqueles com pouca ou nenhuma experiência técnica - conduzir ataques do ransomware. Tudo o que eles têm a fazer é se inscrever para o serviço, concordando em pagar os desenvolvedores ransomware uma parte de qualquer pagamento de resgate que recebem. Algumas plataformas de ransomware-as-a-service, como o recém-descoberto Satanás Raas ainda oferecem consols gerenciamento on-line que tornam mais fácil para os criminosos para lançar, gerenciar e acompanhar campanhas de ransomware.
Tendência nº 2: Phishing tornou-se quase exclusivamente um veículo de entrega de ransomware
97% dos e-mails de phishing oferecem ransomware
Estes dias de phishing e-mails quase sempre levar ransomware PhishMe Q3 2016 Malware Relatório
Se você estiver procurando por mais evidências de proeminência do ransomware, considere que 97,25% dos e-mails de phishing analisados ​​em 2016 pela empresa anti-phishing PhishMe estavam tentando entregar ransomware. Todas as outras cargas de malware representaram menos de 3% combinadas.
Os criminosos sabem a maneira mais fácil de sneak ransomware passado segurança de uma organização é infectando seus usuários, e e-mail lhes fornece acesso direto para fazê-lo. Eles claramente determinado ransomware fornece-lhes a maneira mais lucrativa de capitalizar sobre isso.
Tendência # 3: Novas variantes de ransomware estão sendo produzidas em uma taxa alarmante
Crescimento de variantes de ransomware desde dezembro 2015 Q3 Resumo 2016 Ameaça da Proofpoint
O número de novas famílias de ransomware cresceu 10x em 2016, aumentando 53% de Q2 para Q3 sozinho.
O volume pesado de variantes de ransomware novas e modificadas também significa que as organizações não têm sido capazes de confiar em soluções de segurança tradicionais como antivírus para identificar e bloquear ataques. Até o momento qualquer estirpe particular de ransomware é descoberto e na lista negra, os criminosos têm muitas vezes já se mudou para uma nova variação que vai escapar passado despercebido no início de sua próxima campanha.
Tendência # 4: Uma vez atacado, a maioria das organizações estão ficando infectadas
Número de empresas que foram atacadas pelo menos uma vez e acabaram ficando infectadas. Barkly
Para quase 3/4 das organizações que experimentam ataques de ransomware, a segurança que têm no lugar infelizmente não se levanta. 71 por cento das organizações alvo que falamos em uma pesquisa recente sofreu uma ou mais infecções bem sucedidas que resultou em dados sendo criptografados e, em alguns casos, perdidos para sempre.
A captura é muito poucas organizações realmente pagar o resgate, mesmo após ataques bem sucedidos (ou pelo menos eles não estão confortáveis ​​dizendo que eles fizeram). Os resultados de outra pesquisa que realizamos com as vítimas de ransomware indicou que apenas 5 por cento pago . O fato é que muitas vítimas são capazes de recuperar pelo menos alguns, se não todos os seus arquivos criptografados de backup (apenas 42 por cento dos entrevistados relataram ser capaz de recuperar tudo).
Tendência # 5: Criptografia foi apenas o começo - criminosos ransomware estão levantando as apostas
Talvez como uma resposta às baixas taxas de pagamento, estamos vendo várias novas táticas de ransomware projetado para aumentar a pressão sobre as vítimas e deixá-los pouca escolha, mas para pagar. Por exemplo, nós estamos vendo ataques ransomware agora a ser dirigidas a servidores e bancos de dados ( veja os recentes ataques MongoDB ) com a intenção de causar danos mais generalizado aos serviços e sistemas críticos isso é signficantly mais difícil de recuperar rapidamente.
E em uma outra torção sobre os métodos de extorsão de ransomware, nós também estamos vendo ataques adicionar a ameaça de doxxing - Dados vítima liberar publicamente - se optar por não pagar. Essa ameaça é especialmente prejudicial para organizações que lidam com dados de clientes confidenciais e confidenciais, como hospitais, escritórios de advocacia, serviços financeiros e outros. Ele transforma o que de outra forma seria um problema de TI inconveniente resolvido por backup em um possível evento de violação de dados. Isso muda completamente a equação de pagar ou não.
SEÇÃO 2

Como funciona o Ransomware

De acordo com um levantamento junho 2016 pela Osterman Research , cerca de 50 por cento das organizações foram atingidas com ransomware. Como as taxas de infecção continuam a subir, mais e mais atenção e orçamento está sendo direcionado para encontrar maneiras de manter as máquinas limpas e dados seguros.
Para fazer isso, as organizações precisam entender como o ransomware funciona eo que precisa acontecer para que uma infecção seja bem sucedida. Vamos quebrar o que o processo de infecção parece, começando com as formas mais comuns ransomware é entregue e os passos que você pode tomar para reduzir o risco.

Etapas de um ataque de Ransomware

Entrega
A infecção geralmente ocorre em uma de duas maneiras: clicando em um link ou anexo em um e-mail ou através de um kit de exploração lançado por um site comprometido.
 Como o ransomware é geralmente entregue
Execução (evasão, busca de arquivos para criptografar e propagação)
Ransomware autores, muitas vezes alavancar ligeiras modificações, injeção de processo e outras técnicas para fazer seus programas passam passado segurança antivírus não detectado. Uma vez em uma máquina, ransomware pesquisa o sistema para arquivos para criptografar. Alguns ransomware segmentam tipos de arquivos específicos (por exemplo: .docx, .xlsx, etc.). Alguns também podem se espalhar para unidades de rede mapeadas, o que coloca em risco outros computadores e sistemas conectados ao "paciente zero".
Criptografia
Em muitos casos, a criptografia pode ocorrer em minutos ou mesmo em segundos. Nossos pesquisadores de malware assinou o Chimera ransomware em apenas 18 segundo . Os arquivos são tornados inacessíveis e geralmente são renomeados com uma nova extensão de arquivo que às vezes pode sinalizar qual tipo de ransomware você está lidando.
 Ransomware criptografa arquivos em segundos ou minutos
Pedido de resgate
Uma vez que a criptografia esteja completa, uma tela de resgate ou bloqueio é exibida informando ao usuário que eles têm X quantidade de tempo para pagar uma multa (normalmente na forma de Bitcoin) em troca de uma chave de descriptografia. Após esse prazo, o resgate aumentará ou os arquivos serão destruídos.
 Ransomware tela de demanda

Como as infecções de ransomware começam

Como o ransomware começa em máquinas de vítima, em primeiro lugar?
A resposta curta: via e-mails de phishing ou kits de exploração.
OK, claro. Ouvimos as histórias de horror sobre os funcionários encontrarem drives flash USB no estacionamento e conectá-los. Mas, de longe, os dois principais canais de entrega mais prováveis ​​para ransomware são e-mails e sites comprometidos com kits de exploração. Vejamos cada um em mais detalhes abaixo.

Ransomware canal de entrega # 1: e-mail

Por que enviar e-mail?
Para cyber criminosos, e-mail serve como uma linha direta direto para o macio, em borracha, centro vulnerável de sua rede - seus usuários. Ao enviar e-mails disfarçados de mensagens legítimas, a esperança para autores de ransomware é que eles podem enganar os usuários para abrir um anexo infectado ou clicar em um link que leva o usuário a um site infectado.
É uma tática referida como phishing (atacantes tentam pegar os usuários atraindo-os para tomar a isca). Infelizmente, isso pode ser altamente eficaz - de acordo com o 2016 violação de dados Relatório de Investigação de Verizon , e-mails de phishing tem uma taxa média aberto de 30% - ea pesquisa mostra ransomware é agora o tipo # 1 de malware que phishing entrega (de longe).
Então estamos falando de e-mails de spam?
Não exatamente. Você ainda pode obter um e-mail de spam de massa óbvio de um "príncipe nigeriano" de vez em quando, mas a verdade é que muitos dos e-mails de phishing de hoje são surpreendentemente sofisticados.
Para começar, eles são mais propensos a ser alvo, com os atacantes realmente tomar o tempo para fazer um pouco de pesquisa e e-mails de artesanato que são pessoalmente relevantes para suas vítimas. Ex: Apenas alguns minutos no LinkedIn pode fornecer um atacante com um nome de uma conexão de negócios ou colega que pode fazer referência para tornar seu e-mail muito mais convincente.
Esse tipo de ataque de phishing segmentado é referido como phar de lança (porque o atacante está destacando e indo atrás de uma pessoa ou grupo específico).
Como um e-mail de phishing entrega ransomware?
Duas maneiras principais:
  1. Anexos maliciosos
  2. Links para sites maliciosos ou comprometidos
A partir de agora, basta abrir um e-mail de phishing não é suficiente para obter um usuário infectado com ransomware. Os atacantes ainda precisam que os usuários dêem mais um passo para obter o código de ransomware malicioso em sua máquina - abrindo um anexo infeccioso de e-mail ou clicando em um link que os leva a um site infeccioso.
Nós entraremos em como a segunda opção funciona quando falamos sobre kits de exploração. Primeiro, vamos explorar como os invasores escondem o ransomware em anexos.
Que tipos de anexos se escondem no ransomware?
O sucesso de ransomware phishing ataques depende de convencer a vítima de todos os aspectos do e-mail é legítimo. Um atacante pode fazer grandes esforços criando uma mensagem personalizada e relevante e fazendo com que pareça que ela vem de um remetente que a vítima conhece e confia, mas se o anexo parecer suspeito, isso pode arruinar a chance do usuário pegar a isca.
Para evitar levantar suspeitas, os atacantes muitas vezes escondem ransomware nos tipos de anexos que esperamos receber - alguns dos mais comuns incluem documentos do MS Office (Word, Excel e PowerPoint) e PDFs.
Esses documentos podem ser disfarçados como qualquer coisa de faturas, contratos, formulários regulatórios e muito mais.

Interrompa a infecção mesmo que os usuários tomem a isca.

O software Runtime Malware Defense, como Barkly, bloqueia o ransomware na execução, reconhecendo o comportamento malicioso. Se um usuário abrir um anexo de um e-mail de phishing, o Barkly verá e interromperá o ataque.
Documentos do MS Office são uma escolha popular entre autores de ransomware porque eles permitem que eles aproveitem macros (bits de código que permitem funcionalidade adicional) para executar o ransomware sem o conhecimento do usuário. Ex: A família ransomware Locky originalmente ganhou força e notoriedade no início de 2016 com o seu uso de macros maliciosos em documentos do Word .
Se as macros não estiverem habilitadas, o usuário não será capaz de ler corretamente o documento, e eles serão solicitados a habilitá-los. Uma vez ativadas as macros que permitem que o código do documento baixe e execute a carga real do ransomware.

Dica

Se possível, é uma boa ideia ajustar as definições predefinidas do Microsoft Office dos utilizadores para desactivar as macros. Dessa forma, você pode evitar ransomware de explorá-los. A Microsoft tem um documento de suporte que orienta esse processo .
Mais recentemente, os atacantes começaram a usar anexos de arquivos JavaScript para entregar ransomware ( agora é ainda mais popular do que usando documentos do Word ). O que torna isso especialmente preocupante é que o JavaScript pode fazer qualquer coisa que uma aplicação regular possa fazer, sem atrair o escrutínio de um .EXE. Também é fácil para autores de ransomware disfarçar extensões de arquivos JavaScript para que eles pareçam estarem arquivos .TXT ou algo mais inócuo.
Como posso evitar que o ransomware seja entregue via e-mail?
Você não pode impedir que os atacantes enviem e-mails de phishing de ransomware, mas você pode colocar controles de segurança no lugar que: a) reduza o risco de usuários tomar a isca, ou b) impede ransomware de executar com êxito mesmo se eles fazem.

Ferramentas de prevenção: filtragem de e-mails

A filtragem ativa de tipos de anexos de e-mail que são potencialmente perigosos e não são comumente usados ​​ou necessários ao trabalho do dia-a-dia é certamente uma maneira de baixo esforço para diminuir o risco, mas como demonstra o exemplo de Locky, os criminosos estão se tornando cada vez mais Bom em sneaking o código malicioso nos tipos de lima que começarão após a maioria de filtragem do email. Por esse motivo, a filtragem de e-mails está longe de ser uma solução abrangente.

Você sabia?

74% das vítimas de ransomware relataram que estavam executando e-mails / filtragem de conteúdo no momento da infecção em uma pesquisa recente que realizamos. 100% estavam executando antivírus.
% De vítimas do Ransomware usando soluções de segurança no momento do ataque
Ransomware foi provado para contornar soluções de segurança tradicionais. Barkly

Ferramentas de prevenção: educação do usuário

Ensinar os usuários a detectar e reagir a e-mails suspeitos pode ajudar a transformá-los de uma grande responsabilidade para uma formidável primeira linha de defesa. Para ajudar, nós unimos uma Guia de Phishing campo completo, com exemplos de phishing e-mails que você pode compartilhar com os usuários para mostrar-lhes exatamente o que olhar para fora.
Treinamento de conscientização do usuário é um grande investimento a longo prazo, mas também é um compromisso contínuo, e não há garantia de que os usuários vão ser 100% livre de erro 100% do tempo. Isso significa que você precisa ter back-up redes de segurança no local para que você esteja pronto para o inevitável quando novos ou mesmo treinados usuários clique em algo que não deve ter. Mais do que aqueles estão na "Como parar uma infecção ransomware" seção.

Ransomware canal de entrega # 2: kits de exploração

O que torna a entrega do kit de exploração diferente da entrega via e-mail?
A maior diferença é que, com o e-mail, o fardo é sobre o invasor para enganar um usuário ativamente para baixar e abrir um arquivo. Usando ferramentas chamadas kits de exploração, no entanto, os criminosos podem infectar as vítimas que visitam um site comprometido automaticamente, sem qualquer clique necessário.
Como funcionam os kits de exploração?
Os kits de exploração permitem que os criminosos enviem códigos maliciosos para qualquer página da Web a que tenham acesso. Esse código foi projetado para explorar vulnerabilidades específicas em navegadores ou outros softwares que o visitante pode estar executando (ex: uma versão desatualizada do Adobe Flash Player). Se a vulnerabilidade estiver presente, o kit de exploração pode alavancá-lo para baixar ransomware. Para um mergulho mais profundo, veja nosso post "Entendendo Exploit Kits: como eles funcionam e como pará-los" .
Então evite sites esboçados e estamos prontos para ir?
Desculpe, não realmente. Outra maneira para os criminosos para aumentar suas taxas de infecção é comprometer as redes de anúncios, de modo mesmo visitas a sites legítimos, mainstream pode resultar em um ataque ransomware.
Isso é precisamente o que aconteceu em 2016 de março, quando os anúncios maliciosos (malvertising) contendo o Angler explorar kit apareceu no The New York Times , a BBC, AOL, e as homepages do MSN, expondo dezenas de milhares de visitantes .
Como posso evitar que ransomware seja entregue através de sites comprometidos?
Novamente, é tudo sobre se concentrar nas coisas que você pode controlar. Você não pode impedir que os atacantes criem e usem kits de exploração, mas como eles dependem de tirar proveito das vulnerabilidades do software, uma coisa que você pode fazer é tomar precauções para certificar-se de que seu software está atualizado e atualizado.
Ferramentas de prevenção: Gerenciamento de patches
Dependendo do tamanho e da complexidade de sua organização, ficar em cima, avaliar, testar e lançar os patches mais recentes pode ser um trabalho em tempo integral em si. A boa notícia é que, quando se trata de explorações bem-sucedidas, a grande maioria tira proveito de apenas 10 vulnerabilidades incrivelmente populares.
De acordo com a Verizon 2016 DBIR , os seguintes 10 vulnerabilidades são responsáveis por 85% das façanhas de sucesso: CVE-2001-0876, CVE-2011-0877, CVE-2002-0953, CVE-2001-0680, CVE-2012-1054, CVE -2015-0204, CVE-2015-1637, CVE-2003-0818, CVE-2002-0126, CVE-1999-1058
Comece por remendar aqueles e você pode reduzir drasticamente o seu risco. A partir daí, você vai querer implementar uma estratégia de gerenciamento de correções que envolve, idealmente, a automação.

Ferramentas de prevenção: instale um bloqueador de anúncios

Os bloqueadores de anúncios podem ajudar a proteger seus usuários de anúncios mal-intencionados (malvertising) que podem infectar até mesmo os principais sites legítimos.

Como o ransomware evita a detecção e como as infecções se espalham

Por que meu antivírus não pára o ransomware?
O Antivirus funciona executando rastreamentos de arquivos de rotina e procurando assinaturas de arquivos em um banco de dados de assinaturas de malware conhecidas. Esta abordagem é muito eficaz para bloquear malware conhecido, mas não pára o malware da marca ou o malware antigo que foi reembalado com uma nova assinatura. Sem surpresas, os hackers captaram essa fraqueza crítica e agora estão criando ransomware e outros ataques para ultrapassar o antivírus. Aqui estão algumas maneiras de fazê-lo:
  • Malwares polimórficos é um malware que é projetada para sofrer mutações, alterando o seu próprio nome de arquivo ou assinatura, de modo que ele vai ficar por antivírus.
  • Criptografadores ou obfuscators são ferramentas que mudam a aparência de um arquivo, tornando-se irreconhecível para antivírus.
  • Fileless entrega de ransomware (por exemplo, através de chaves de registo) permite ataques para iludir as varreduras de arquivo antivírus e passar sem ser detectado.
Uma vez que uma carga útil ransomware é entregue, o que acontece depois?
Os próximos passos podem variar de variante de ransomware para variante, mas em geral, uma vez que ransomware é executado, desperdiça muito pouco tempo digitalização locais e unidades conectadas para arquivos para criptografar. Algumas variantes (como Locky e DMA Locker) até criptografam compartilhamentos de rede não mapeados, estendendo o alcance da infecção e tornando os danos potenciais ainda mais difundidos.
Variantes de ransomware diferentes também podem varredura para diferentes tipos de arquivos, embora muitos lançam suas redes de largura e pode criptografar qualquer coisa de arquivos do Microsoft Office para arquivos de multimídia. É importante notar algumas variantes de ransomware como Locky também excluir cópias de volume de sombra - instantâneos de backup ao vivo que os usuários do Windows poderiam usar para restaurar seus arquivos.

Você sabia?

Ransomware normalmente leva apenas uma questão de minutos ou mesmo segundos para terminar de criptografar arquivos.
Uma vez que o processo de criptografia está completo e os arquivos são tornados inacessíveis, o ransomware cria uma nota de resgate que notifica o usuário o que acabou de acontecer. Notas de resgate são tipicamente arquivos .TXT, mas dependendo do ransomware, eles também podem aparecer em uma página da Web e / ou substituir o papel de parede do Windows, também. O ponto das notas é estabelecer o montante da demanda de resgate, percorrer o usuário através de como pagá-lo (normalmente com Bitcoin), ou simplesmente direcioná-los para uma página da web para obter mais instruções.
Nota: Os detalhes incluídos nos avisos de resgate, especificamente todos os URLs incluídos, podem fornecer pistas sobre o tipo específico de ransomware com o qual você está lidando (como pode fazer qualquer alteração no ransomware para extensões de arquivo criptografadas - mais sobre isso posteriormente ).
Para ver o que o processo de infecção parece e ter uma idéia de como isso acontece rapidamente, aqui está um vídeo de TeslaCrypt em ação:
Teslacrypt criptografia de arquivos em questão de segundos Barkly
SECÇÃO 3

Proteção Ransomware

Como parar uma infecção ransomware

Além de trabalhar para evitar a entrega de ransomware em primeiro lugar, você também pode torná-lo mais difícil para ransomware para completar o processo de infecção, mesmo se ele pousar em uma máquina.

Ferramentas antivírus, anti-malware ou anti-exploit - o que você precisa?

Não há nenhuma falta de soluções comercializadas para resolver ransomware. Honestamente, pode ser difícil fazer sentido de toda a terminologia e claramente determinar o que faz o quê. Uma maneira útil de simplificar as coisas é através da classificação de soluções com base em quando eles entram em jogo durante um ataque ransomware.
Como o gráfico abaixo ilustra, a maior diferença entre a maioria das ferramentas de proteção é o estágio de ataque específico que você pode mapeá-los. Pensar em ferramentas dessa maneira permite identificar onde você está coberto e onde suas lacunas são. Uma sólida estratégia defensiva de ransomware incorpora proteção em cada fase possível de um ataque.
Mapeando soluções de segurança para os estágios de um ataque Ransomware
Objetivo # 1 (pré-execução): Mantenha o ransomware fora de seus pontos finais, impedindo a entrega

Exemplos de soluções que podem ajudar:

  • Defesas de gateway como firewalls, UTM, e-mail e filtragem de SPAM, etc.
  • Programas de treinamento de conscientização do usuário e testes anti-phishing
  • Explorar prevenção, como EMET, gerenciamento de patches, bloqueadores de anúncios, etc.
Sabendo que alguns ataques podem encontrar uma maneira de contornar essas defesas (especialmente devido aos usuários serem humanos e clicar a coisa errada, não importa quantas vezes eles são treinados), você também deve ter proteção no local para evitar ransomware de procedendo passado o próximo estágio.
Objetivo # 2 (pré-execução): Bloquear cargas úteis de ransomware da execução

Exemplos de soluções que podem ajudar:

  • Filtragem de arquivos e produtos de filtragem, como antivírus e ferramentas antivírus de próxima geração
  • Soluções de isolamento de programas, como ferramentas de sandboxing
  • Livre / opções de filtragem de bricolage, como whitelisting aplicação ( AppLocker ), restrições baseadas em GPO , como bloqueios execuções de programas de pastas temporárias, desabilitar macros do Microsoft Office , etc.
Sabendo que muitas variantes ransomware são projetados para esgueirar passado essas defesas você também precisa de soluções projetadas para protegê-lo, mesmo se um programa ransomware é executado.
Objetivo # 3 (pré-dano): Pare de executar ransomware de fazer mal

Exemplos de soluções que podem ajudar:

Nota: Bloqueio de ataques em tempo de execução é a sua última chance de evitar uma infecção ransomware. Os dois grupos seguintes de soluções são projetados para ajudá-lo a reagir a infecções bem-sucedidas, isolando-as e recuperando-as rapidamente.
Objetivo # 4: isolar infecções ransomware para evitar que eles se espalhem

Exemplos de soluções que podem ajudar:

Nota: Novamente, estes não irá ajudá-lo a parar uma infecção ransomware, mas eles podem ajudar a detectar e contê-lo.
Objetivo # 5: Recuperar rapidamente sem pagar o resgate

Exemplos de soluções que podem ajudar:

Falta proteção em tempo de execução?

Barkly serve como uma última linha de defesa contra ransomware. Bloqueamos ataques que recebem antivírus ao reconhecer comportamentos maliciosos em tempo de execução.
SEÇÃO 4

O que fazer se você tiver sido infectado

Nesta seção, nós o guiaremos pelas etapas que você deve tomar imediatamente se você ou qualquer um de seus usuários se tornar vítimas infelizes de um ataque de ransomware.
Como com qualquer incidente de segurança, o importante é manter a calma e abordar as coisas sistematicamente. Isso é mais fácil dizer do que fazer, é claro, mas ter um quadro básico para um plano de resposta e praticá-lo antes do tempo pode ajudar. Vamos percorrer o que parece.

Passo 1: Isolar

Desconecte as máquinas infectadas da rede e bloqueie as unidades de rede compartilhadas.
Com ransomware, a principal coisa que você está contra é a sua velocidade. Ao contrário de outros ataques cibernéticos que priorizam o sigilo para manter o acesso e controle do sistema por longos períodos de tempo, o ransomware simplesmente prioriza criptografar o máximo possível o mais rápido possível.
Por essa razão, dependendo de como você descobriu ou foi notificado da infecção, você pode encontrar-se lidar com apenas um dispositivo infectado (considere a sorte) ou vários usuários e máquinas. Sua primeira etapa deve ser isolar todas as máquinas infectadas que você está imediatamente ciente de desconectá-los da rede, bem como wifi. Lembre-se de que muitas variantes do ransomware são capazes de se espalhar por unidades de rede compartilhadas, portanto, talvez seja necessário bloquear temporariamente essas opções e verificar os servidores de arquivos também.
Infelizmente, como o ransomware criptografa arquivos tão rapidamente, em muitos casos os danos nos dispositivos infectados já serão feitos. Esperança não é necessariamente perdida, mas não mudar seu foco para a recuperação ainda.
Determinar toda a extensão da infecção
A maioria das variantes de ransomware fará alterações em nomes de arquivos criptografados, muitas vezes alterando todas as extensões para algo que corresponde ao nome do ransomware (ex: .zepto ou .locky). Eles também criam arquivos README.txt e README.html com instruções de resgate. Olhando para esses marcadores pode dar-lhe uma idéia quanto à extensão da infecção e como distante é espalhado.
É importante rastrear qualquer dispositivo com esses sinais de infecção e levá-los todos offline. A ausência de qualquer dispositivo infectado aumenta o risco de propagação da infecção.

Etapa 2: Investigar

Determinar que tipo de ransomware você foi infectado com
A razão pela qual isso é útil saber é que algumas variantes ransomware foram identificados como sendo "falso" - o que significa que eles realmente não criptografar seus dados de forma eficaz. Outras variantes foram craqueadas e ferramentas de descodificação foram disponibilizadas. Ainda outras variantes podem não ter um bom histórico de realmente entregar uma chave de descriptografia de trabalho mesmo se você decidir tentar pagar o resgate.

Dica

Para obter uma lista de possíveis tipos de ransomware você foi infectado com, e para descobrir se uma ferramenta de descriptografia está disponível, utilize o nosso Ransomware descriptografia ferramenta de localização .
Ransomware_decryption_tool_finder_promo.jpg
As extensões de arquivo novas ou modificadas anexadas a arquivos criptografados são muitas vezes uma pista sobre o tipo específico de ransomware com o qual você está lidando. Da mesma forma, as informações incluídas na tela de resgate - especificamente, quaisquer URLs que você aponta para mais informações ou etapas de pagamento - também podem servir como marcadores de identificação. Pesquisador site da Michael Gillespie permite que você envie uma nota de resgate e / ou um exemplo de arquivo criptografado para saber que tipo é.
Por último, você pode tentar algumas boas à moda antiga googling. Procure a mensagem de tela de resgate, a extensão aplicada aos arquivos bloqueados ou alguns dos sintomas que você está enfrentando, como compartilhamentos de rede não mapeados criptografados ou cópias de sombra criptografadas. Outro grande recurso para verificar para fora para mais informação em variantes específicas do ransomware é BleepingComputer.com.
Determinar a fonte ea causa da infecção
Para entender como o ataque começou, você também quer identificar o "paciente zero" - a primeira pessoa em sua organização que foi infectada. Tenha em mente que nem sempre é o usuário que relatou o incidente. Em alguns casos, você pode ser capaz de determinar o paciente zero olhando as propriedades de um dos arquivos infectados e ver quem o proprietário está listado como. Para mais informações sobre como identificar paciente zero, consulte este tópico no Spiceworks .
Mais uma vez, uma vez que a maioria dos ransomware não aguardam muito tempo para começar uma vez que está em uma máquina, em muitos casos, você deve ser capaz de descobrir o que desencadeou o ataque, descobrindo o que o usuário estava fazendo pouco antes da tela de resgate apareceu.
Peça aos usuários que refazam seus passos:
  • Abriram novos documentos?
  • Clique em qualquer anexo ou link em um e-mail?
  • Eles visitaram sites que normalmente não visitam?
Uma vez que você determinar a causa da infecção também pode ser uma boa idéia para compartilhar um alerta com outros usuários deixando-os saber o que estar à procura de (ex: phishing e-mails com facturas falsas, etc).
Entretanto, há alguém mais que precisa saber sobre o ataque de ransomware imediatamente? Se sim, agora é a hora de dizer a eles.

Etapa 3: Recuperar

Tente restaurar seus dados criptografados
Infelizmente, na maioria dos casos, uma vez que os arquivos são criptografados não há nenhuma maneira de desbloqueá-los sem a chave de descriptografia. Dito isto, os pesquisadores de malware às vezes são capazes de explorar falhas em métodos de criptografia ransomware e desenvolver ferramentas de descriptografia. Como mencionado, o nosso Ransomware descriptografia ferramenta de localização é uma maneira fácil de descobrir se uma ferramenta de descriptografia está disponível para a tensão de ransomware você foi infectado com.
Se nenhuma ferramenta de descriptografia estiver disponível, sua única outra opção é restaurar seus arquivos de backup. Claro, a única maneira que você pode fazer isso é se um backup viável está disponível. Uma pesquisa recente de profissionais de TI descobriu que apenas 42% foram capazes de recuperar totalmente seus dados , mesmo com backups no lugar.
As principais razões para recuperações de backup falhadas ou incompletas foram:
  1. Os backups que não foram monitorados ou testados regularmente não funcionaram.
  2. Os backups locais ou backups conectados a uma unidade compartilhada também foram criptografados.
  3. Ocorreu uma perda de dados desde o último instantâneo incremental.
Para mais dicas sobre como fazer sua estratégia de backup ransomware-pronto, veja o nosso post, " 3 melhores maneiras de usar o Backup para recuperar de ransomware. "
Nota: Mesmo se você não estiver usando um provedor de backup dedicado, você ainda pode ser capaz de recuperar seus dados se o serviço de cópia de sombra de volume livre da Microsoft (VSS) está habilitado. Basta ter em mente VSS tem suas limitações, e algumas variantes ransomware são capazes de criptografar cópias de sombra, também.
Decidir se você precisa ou não pagar o resgate
Entrevistados profissionais de TI quase sempre se recusou a pagar o resgate Barkly
Se você não pode descriptografar ou recuperar seus arquivos de backup, você fica com uma decisão difícil de fazer. Enquanto a maioria das autoridades não recomendo pagar o resgate ( e as estatísticas indicam poucas organizações realmente fazem ), em última análise, a sua decisão terá de ser baseado em sua situação, não de outras pessoas.
As coisas podem se resumir a como o acesso integral às informações criptografadas é para o seu negócio. É uma boa idéia pensar sobre como seus dados são valiosos - você está lidando com arquivos de casos de lei, registros de saúde do paciente, ordens de vendas do cliente, etc - e tomar decisões sobre como você iria lidar com vários cenários de criptografia antes do tempo. Dessa forma, você não é forçado a tomar uma decisão desinformada no calor do momento.
Tenha em mente, no entanto, uma vez que os invasores identificaram sua organização como um alvo bem-sucedido, as probabilidades de você ter ataques repetidos são altas.
Limpe as máquinas infectadas para evitar re-infecção
A maneira mais segura é destruir o computador e trazê-lo de volta às configurações de fábrica. Em seguida, restaure a partir do backup.
Se você não tem backup que você pode usar, a situação se torna mais complicado. Há algumas coisas que você pode tentar a fim de salvar alguns dos arquivos, tais como ferramentas de malware de remoção ( Microsoft oferece um livre ), mas você corre o risco de um arquivo malicioso se perdeu ea infecção partida de volta por cima de toda novamente.

Etapa 4: Reforçar

Realizar uma retrospectiva pós-ataque
Com o ataque contido e qualquer dados recuperáveis ​​restaurados, as empresas podem felizmente estar voltando ao normal. Agora que a crise imediata acabou, no entanto, é importante aproveitar a oportunidade para fazer uma avaliação completa do que aconteceu, como você reagiu, e todas as surpresas ou lacunas que foram expostas ao longo do caminho.
Começando com a forma como o ransomware foi entregue com sucesso, em primeiro lugar, voltar e retraçar a trajetória do ataque. Tente identificar todas as vulnerabilidades que foram exploradas ao longo do caminho e controles específicos que você pode implementar para eliminá-los ou mitigá-los.
Digamos que o ataque foi lançado com um e-mail de phishing. Quais vulnerabilidades e lacunas em sua segurança permitiram que o ransomware fosse entregue com sucesso?
Para começar, o usuário que recebeu o e-mail foi enganado. Você pode investir em treinamento de conscientização para ajudar os usuários a tomar decisões mais educadas? Melhor ainda, existem coisas que você pode fazer para prejudicar os erros do usuário são mais difíceis de fazer? Você pode desabilitar macros em documentos do Microsoft Office para que os autores de ransomware não possam explorar sua funcionalidade, por exemplo?
Também está claro se você estava executando filtragem de e-mail e antivírus que ambos foram ignorados ou ineficaz. Há ajustes que você pode fazer para fortalecê-los? Existem camadas adicionais de segurança de ponto de extremidade que você pode adicionar que funcionam de forma diferente e parar tipos específicos de ataques que eles não fazem?
Até que ponto a infecção se espalhou? Há ajustes que você pode fazer aos privilégios de acesso do usuário para limitar o que as contas infectadas podem alcançar?
Você conseguiu limpar máquinas e recuperar adequadamente de backup? Há alguma alteração na estratégia de backup que você precisa fazer?

Você sabia?

50% das vítimas de ransomware experimentam ataques repetidos.
Infelizmente, sofrer um ataque ransomware coloca você em maior risco de sofrer outro. Perguntando esses tipos de perguntas irá ajudá-lo a sondar onde estão seus pontos fracos e determinar o que precisa mudar para evitar um incidente de repetição.
Além disso, aqui está uma lista de verificação que você pode usar para se preparar melhor para infecções ransomware e aumentar suas chances de sucesso impedindo-os em primeiro lugar.
SEÇÃO 5

Porque a prevenção é rei

Se você é como a maioria dos profissionais de TI, você contrata ferramentas de segurança de endpoint para realizar dois trabalhos principais: proteja sua organização contra perda de dados ou roubo e minimize o tempo de inatividade para os usuários finais. Ter a capacidade de detectar infecções e restaurar dados após um ataque ransomware é fundamental, mas quando se trata de realizar esses trabalhos, a prevenção de infecção em primeiro lugar deve ser a prioridade por algumas razões:
  1. Backups nem sempre são confiáveis: Mesmo com backups no lugar, apenas 42% das organizações de recuperar totalmente os seus dados a partir de um ataque ransomware.
  2. Backups não impedir o roubo de dados: Backups pode atenuar a perda de dados, mas eles não vão ajudar no caso de roubo de dados. Esta deve ser uma preocupação para qualquer organização que guarda dados sensíveis.
  3. Tempo que é valioso: Alguém tem que limpar quando há uma infecção. Sua equipe está muito ocupada para apagar incêndios que poderiam ser evitados.
  4. Um ataque bem sucedido significa o tempo de inatividade para os usuários: Ele só pode levar algumas horas para recriar uma máquina, mas um par de horas no momento errado pode ter um enorme impacto para os usuários que estão trabalhando em prazos apertados ou se preparando para fazer apresentações.
SEÇÃO 6

Próximos passos

Agora que você é um especialista em todas as coisas ransomware, é hora de certificar-se de proteção da sua organização é até a velocidade. Reunimos a seguinte lista de verificação para ajudá-lo durante o processo:

Lista de verificação de sobrevivência do Ransomware

  • Você tem antivírus atualizado instalado em seus pontos de extremidade?
  • Você tem proteção de endpoint baseado em comportamento como Barkly instalado que pode parar os ataques de antivírus não pode?
  • Você está usando um sistema automatizado de gerenciamento de patches? Se não, você tem um método organizado de descobrir, avaliar e implementar atualizações de software?
  • Você já realizou treinamento de conscientização de segurança para seus usuários, com ênfase em identificar possíveis e-mails de phishing e relatar qualquer atividade suspeita ou incomum assim que possível?
  • Se possível, você desabilitou macros do Microsoft Office?
  • Você entende como um ataque pode se espalhar por unidades de rede compartilhada?
  • Você tem acesso limitado ao usuário e privilégios ao mínimo necessário para fazer seus trabalhos?
  • Você tem backups em sua própria rede separada?
  • Você tem um inventário atualizado do objetivo de ponto de recuperação de backup (RPO) e do objetivo de tempo de recuperação (RTO) para todas as estações de trabalho e servidores?
  • Você tem uma programação para testar regularmente seus backups?
  • Você já realizou uma avaliação de risco para identificar e atribuir valor aos ativos de dados críticos de sua organização?
  • Você conhece o seu custo de inatividade? Descobrir isso vai ajudá-lo a colocar um montante em dólares em manter seus sistemas e ransomware-free.

Ferramentas e recursos adicionais

Depois de tudo isso, ainda procurando mais? Aqui estão alguns links para outras ferramentas fantásticas ransomware, tutoriais e estatísticas vale a pena conferir:

DIY proteção ransomware:

Como bloquear CrypVault Ransomware através de política de grupo por Tim Buntrock, 4sysops Blog
Cryptolocker Canary Tutorial por Peter Polaco, Spiceworks Forum

Ferramentas de identificação e decodificação Ransomware:

Ransomware descriptografia ferramenta de localização (tipo de extensão de arquivo para identificar variante e obter link para um decoder se houver) por Barkly
ID ransomware (nota de upload resgate ou arquivo criptografado para analisá-la) por Michael Gillespie
Ransomware Overview (grande lista de variantes de ransomware além de medidas de prevenção adicionais) por Florian Roth e contribuidores adicionais

Simulação de Ransomware e testes:

RanSim por KnowBe4

Estatísticas e tendências de Ransomware:

Ransomware pelos números (lista de estatísticas must-sei), Barkly Blog
Ransomware Rastreador (lista ao vivo de ransomware ativa C & C servidores botnet, locais de distribuição, e locais de pagamentos, juntamente com listas de bloqueio para o seu firewall) por Abuse.ch
Ransomware Chronicle (lista abrangente da evolução ransomware de maio 2016 - Janeiro 2017) por David Balaban

No tempo que é levado você a ler esta página, 5 empresas foram atacados por ransomware.

As empresas são atingidas a cada 40 segundos. Não se deixe tornar um deles.