Jump to content

Recommended Posts

Senhores,

Algum de vocês já testaram essa ferramenta? Ultimamente em nosso suporte recebemos alguns incidentes ligados ao vírus 'ransomware' e estou na busca de novidades para combater esse tipo de ameaça.

Como não vi nenhum tópico dos brasileiros referente ao assunto, tomei a decisão de mostrar o assunto aos que frequentam esse canal. Essa ameaça está evoluindo e muitas empresas nos repassam diferentes casos. Estou acompanhando no 'Remedy IT SERVICE management', ou 'companyaccount.kaspersky.com' para alguns. :dash1:

 

 

Obrigado.

Share this post


Link to post

Segue abaixo a comunicação que envio para os clientes afetados por vírus do tipo Ransomware.

 

==============================

 

Algumas aplicações maliciosas cripto usam criptografia de chave aberta. Esta tecnologia foi usada como uma medida de segurança forte para proteger os dados importantes de invasores , mas agora os hackers usam esta mesma tecnologia para prejudicar a máquina de um usuário e os dados armazenados no mesmo. Hackers criam software malicioso que criptografa os dados quase que imediatamente após ser executado. Os dados podem ser descriptografados se o usuário tiver a chave de encriptação "Privada" utilizada para criptografar os arquivos. Hackers iram manter esta chave privada e pediram dinheiro pela mesma, geralmente sob a forma de Bitcoins. Os usuários são fortemente aconselhados a não fazer isso, principalmente porque não é garantido que os dados corrompidos irão ser decifrados e/ou ele irá lhe enviar a chave privada, mas também porque vai incentivar os cibercriminosos a continuar suas atividades criminosas. Infelizmente, nesses casos é quase impossível descriptografar os dados dentro do prazo de validade determinado, sem ter a chave de encriptação "Privada".

 

Os produtos da Kaspersky Lab têm uma contramedida eficiente: tecnologia de detecção proativa de comportamento no componente “System Watcher” (Inspetor do Sistema) nas soluções B2B e B2C atuais. Ele não é somente capaz de supervisar os processos do sistema e detectar ações maliciosas, mas também implementa um Subsistema de Contramedidas Cryptomalware que pode proteger os dados do usuário, fazendo cópias de segurança locais protegidas dos arquivos de dados do usuário no momento em que são abertos pelo programa suspeito, e depois substituir os dados afetados com estas cópias de backup. Por isso, é muito importante que o componente Inspetor do Sistema dos produtos da Kaspersky Lab esteja ativado.

 

Alguns clientes usando soluções com o Inspetor do Sistema desativado ou versões desatualizadas dos produtos em que o Inspetor do Sistema ainda não tinha sido implementado, poderiam ser afetados por este malware. Exemplos desses produtos incluem o Kaspersky Anti-Virus para Windows Workstation 6.0 lançado em 2007, ou compilações do Kaspersky Endpoint Security 8 e 10, que foram desenhados para o uso em sistemas operacionais de servidor.

 

Os clientes que desejam usar soluções sem Inspetor do Sistema deverão agir com extrema cautela: não abrir anexos desconhecidos, evitar acesso ao sistema a usuários sem experiência, e fazer com frequência backups de dados.

 

Para minimizar a possibilidade de infecção alguns passos podem ser feitos pelos Administradores de Sistema. Sempre que o downloader desse tipo malware com criptografia seja distribuído através de anexos de e-mail que contenham arquivos executáveis (como *.scr, *.vbs, *.bat, etc) os administradores devem bloquear essas mensagens de correio electrónico fraudulentas pelo tipo de anexo. Outra medida preventiva é proibir através da política de segurança de domínio (Group Policy) a execução de qualquer arquivo *.scr por exemplo. Isso fará com que o uso de protetores de tela (screen saver) seja impossível, mas vai evitar a perda de dados.

 

É também importante notar que a infecção é altamente possível se houver pelo menos um PC desprotegido dentro da infra-estrutura corporativa. Arquivos localizados em pastas compartilhadas podem ser criptografados por computadores remotos desprotegidos com permissão para escrever. Para evitar isso, recomendamos apertar o controle das políticas de compartilhamento de pasta. É impossível para a solução de vírus que se encontra no servidor determinar se o arquivo foi criptografado por um vírus ou por uma aplicação comercial válida uma vez que o Antivírus no servidor não tem acesso aos processos em execução no computador infectado. Os arquivos não são infectados, eles são criptografados e criptografia não é uma atividade maliciosa.

 

Kaspersky Lab está constantemente trabalhando em contramedidas para tais aplicações maliciosas. Em alguns casos, é possível determinar o método de criptografia usado por hackers, fazendo uma análise do código do aplicativo malicioso. Nestes casos, os engenheiros da Kaspersky Lab são capazes de preparar ferramentas especiais que podem descriptografar os dados já criptografados (http://support.kaspersky.com/viruses/disinfection). Às vezes, o software malicioso é tão complexo que não é possível criar uma ferramenta de decriptação dentro do período de tempo especificado.

 

O processo de resposta a este tipo de infecção consiste em 3 etapas:

 

***********************************************************

I - CONFIRMAR DE QUE NÃO EXISTE NENHUMA INFECÇÃO ATIVA

***********************************************************

 

Caso haja a suspeita de que a infeção ainda está ativa, você pode utilizar os utilitários abaixo para verificar se existe uma infecção no ambiente.

 

- Rescue Disk (Boot)

 

http://support.kaspersky.com/viruses/rescuedisk#downloads

http://support.kaspersky.com/8092

http://support.kaspersky.com/8093

 

- Kaspersky Virus Removal Tool 2015

 

http://support.kaspersky.com/viruses/kvrt2015#downloads

 

- Free AntiVirus

 

http://www.kaspersky.com/free-virus-scan

 

Informações adicionais:

 

http://www.kaspersky.com/viruswatchlite?hour_offset=-8 : Lista de vírus conhecidos

https://securelist.com : Site Global para pesquisa de informações sobre ameaças.

http://www.kaspersky.com/viruswatchlite/: Outro site para pesquisa sobre ameaças.

http://support.kaspersky.com/viruses/utility: Todos os utilitários de combate a ameaças.

http://go.kaspersky.com/rs/kaspersky1/imag...s_Q12015.pdf%20

http://scan.kaspersky.com

 

 

***********************************************************

II - SE PROTEGER DE FUTURAS INFECÇÕES

***********************************************************

 

Nós recomendamos atualizar para o Kaspersky Endpoint Security 10 SP1 (mr2) nas estações de trabalho e o Kaspersky Security 10 for Windows Server (ver. 10.0.0.486) em servidores (com a licença para ativar o módulo Anti-Crypto) , os mesmos possuem uma engine mais nova que possui um mecanismo melhor para detectar ameaças malware de criptografia.

 

Por favor, reveja os artigos KB da Kaspersky Lab com as recomendações de proteção geral contra cripto-vírus:

 

Português:

 

https://blog.kaspersky.com.br/ransomware-10-tips/5866/

https://blog.kaspersky.com.br/tag/ransomware/

 

Inglês:

 

http://support.kaspersky.co.uk/viruses/common/10952

http://support.kaspersky.com/us/10905

 

 

====================================================================

Kaspersky Endpoint Security 10 Service Pack 1 Maintenance Release 2 for Windows

====================================================================

 

Version 10.2.4.674 30.11.2015

 

Download (Português) - http://aes.kaspersky-labs.com/portuguese/e...t-br_aes256.exe

 

Download (Inglês) -

http://aes.kaspersky-labs.com/english/endp...2_en_aes256.exe

 

Manual - http://docs.kaspersky-labs.com/portuguese/...p1mr2_pt-br.pdf

 

Post no Forum em Português -

http://forum.kaspersky.com/index.php?showtopic=339749

 

Release Notes - http://aes.kaspersky-labs.com/portuguese/e...4.674_pt-br.txt

 

Observações:

 

1. Você pode efetuar o download do novo pacote de instalação do KSC que inclui esta versão e "atualizar" o seu ambiente.

 

Download (Português) - http://aes.kaspersky-labs.com/portuguese/a...4full_pt-br.exe

Download (Inglês) - http://aes.kaspersky-labs.com/english/admi...c10.2.434en.exe

 

2. Caso deseje utilizar o Security Center (VERSÃO 10.2.434) em Português para gerenciar:

 

a. Instale o arquivo abaixo no computador que se encontra o KSC.

 

http://media.kaspersky.com/utilities/Corpo...KES10SP1MR2.zip

 

b. Confirme que o KSC 10 SP1 (10.2.434) está com o Patch D instalado.

 

http://forum.kaspersky.com/index.php?showtopic=334233

http://support.kaspersky.com/12425

 

Segue abaixo um vídeo que demonstra como aplicar este patch no seu ambiente.

 

https://box.kaspersky.com/f/5196257844/?dl=1

 

 

3. Para adicionar o pacote de instalação da nova versão do KES (10.2.4.674) existe duas formas, escolha uma de sua preferência.

 

I) Adicionar automaticamente através do KSC (Recomendado - O progresso pula de 0% para 100%)

Vídeo - https://box.kaspersky.com/f/4bde245111/?dl=1

 

II) Adicionar manualmente

Vídeo - https://box.kaspersky.com/f/f2f5283444/?dl=1

 

4. Vídeo mostrando como remover o plugin da versão beta caso você tenha ele instalado.

 

https://box.kaspersky.com/f/6adbd82c82/?dl=1

 

5. Por se tratar de uma nova versão, é necessário ter políticas e tarefas para esta versão. Você pode criar uma cópia convertida de políticas e tarefas das versões anteriores. Conforme procedimento no link abaixo.

 

http://support.kaspersky.com/7520

 

6. Kaspersky recomenda remover o Kaspersky Endpoint Security antes de atualizar a versão do Windows.

 

=======================================================

Kaspersky Security 10 for Windows Server (ver. 10.0.0.486) - Inglês

=======================================================

 

https://forum.kaspersky.com/index.php?showtopic=347789

 

 

***********************************************************

III - VERIFICAR A POSSIBILIDADE DE RECUPERAR OS ARQUIVOS

***********************************************************

 

Segue a lista de utilitários para tentar descriptografar os arquivos. Não há garantias de que a ferramenta será capaz de descriptografar, vai depender muito da tecnologia empregada na criptografia dos arquivos.

 

http://support.kaspersky.com/us/viruses/di...ion/8547#block1

http://support.kaspersky.com/viruses/common/10952#block3

http://support.kaspersky.com/4264

http://support.kaspersky.com/2911

http://support.kaspersky.com/viruses/disinfection/2911

http://support.kaspersky.com/10556

http://support.kaspersky.com/viruses/disinfection/8547

http://support.kaspersky.com/11333

https://noransom.kaspersky.com/

https://noransom.kaspersky.com/static/conva...rypt-manual.pdf

 

Uma possibilidade de recuperar os arquivos seria utilizar um utilitário que recupera arquivos deletados ou um utilitário que acessa a área de Shadow Copy do disco.

 

Favor entrar em contato com o suporte técnico para enviar amostras dos arquivos afetados e/ou uma amostra do vírus em arquivo compactado e protegido pela senha "infected" para ser encaminhado ao nosso laboratório de vírus e verificar se é possível recuperar os arquivos e/ou efetuar uma análise na amostra do vírus.

 

Share this post


Link to post
Obrigado, tb vi no Remedy!

 

e no tópico oficial que o Américo criou tem um vídeo bem interessante sobre a forma de combate e prevenção com a Kaspersky:

Share this post


Link to post

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.


×
×
  • Create New...

Important Information

We use cookies to make your experience of our websites better. By using and further navigating this website you accept this. Detailed information about the use of cookies on this website is available by clicking on more information.