Jump to content

Recommended Posts

Segue abaixo um vídeo demonstrando como este tipo de infecção atua e como nosso produto trabalha para combater.

 

 

=====================================

RANSOMWARE

=====================================

 

Algumas aplicações maliciosas cripto usam criptografia de chave aberta. Esta tecnologia foi usada como uma medida de segurança forte para proteger os dados importantes de invasores , mas agora os hackers usam esta mesma tecnologia para prejudicar a máquina de um usuário e os dados armazenados no mesmo. Hackers criam software malicioso que criptografa os dados quase que imediatamente após ser executado. Os dados podem ser descriptografados se o usuário tiver a chave de encriptação "Privada" utilizada para criptografar os arquivos. Hackers iram manter esta chave privada e pediram dinheiro pela mesma, geralmente sob a forma de Bitcoins. Os usuários são fortemente aconselhados a não fazer isso, principalmente porque não é garantido que os dados corrompidos irão ser decifrados e/ou ele irá lhe enviar a chave privada, mas também porque vai incentivar os cibercriminosos a continuar suas atividades criminosas. Infelizmente, nesses casos é quase impossível descriptografar os dados dentro do prazo de validade determinado, sem ter a chave de encriptação "Privada".

 

Os produtos da Kaspersky Lab têm uma contramedida eficiente: tecnologia de detecção proativa de comportamento no componente “System Watcher” (Inspetor do Sistema) nas soluções B2B e B2C atuais. Ele não é somente capaz de supervisar os processos do sistema e detectar ações maliciosas, mas também implementa um Subsistema de Contramedidas Cryptomalware que pode proteger os dados do usuário, fazendo cópias de segurança locais protegidas dos arquivos de dados do usuário no momento em que são abertos pelo programa suspeito, e depois substituir os dados afetados com estas cópias de backup. Por isso, é muito importante que o componente Inspetor do Sistema dos produtos da Kaspersky Lab esteja ativado.

 

Alguns clientes usando soluções com o Inspetor do Sistema desativado ou versões desatualizadas dos produtos em que o Inspetor do Sistema ainda não tinha sido implementado, poderiam ser afetados por este malware. Exemplos desses produtos incluem o Kaspersky Anti-Virus para Windows Workstation 6.0 lançado em 2007, ou compilações do Kaspersky Endpoint Security 8 e 10, que foram desenhados para o uso em sistemas operacionais de servidor.

 

Os clientes que desejam usar soluções sem Inspetor do Sistema deverão agir com extrema cautela: não abrir anexos desconhecidos, evitar acesso ao sistema a usuários sem experiência, e fazer com frequência backups de dados.

 

Para minimizar a possibilidade de infecção alguns passos podem ser feitos pelos Administradores de Sistema. Sempre que o downloader desse tipo malware com criptografia seja distribuído através de anexos de e-mail que contenham arquivos executáveis (como *.scr, *.vbs, *.bat, etc) os administradores devem bloquear essas mensagens de correio electrónico fraudulentas pelo tipo de anexo. Outra medida preventiva é proibir através da política de segurança de domínio (Group Policy) a execução de qualquer arquivo *.scr por exemplo. Isso fará com que o uso de protetores de tela (screen saver) seja impossível, mas vai evitar a perda de dados.

 

É também importante notar que a infecção é altamente possível se houver pelo menos um PC desprotegido dentro da infra-estrutura corporativa. Arquivos localizados em pastas compartilhadas podem ser criptografados por computadores remotos desprotegidos com permissão para escrever. Para evitar isso, recomendamos apertar o controle das políticas de compartilhamento de pasta. Os arquivos não são infectados, eles são criptografados e criptografia não é uma atividade maliciosa.

 

Kaspersky Lab está constantemente trabalhando em contramedidas para tais aplicações maliciosas. Em alguns casos, é possível determinar o método de criptografia usado por hackers, fazendo uma análise do código do aplicativo malicioso. Nestes casos, os engenheiros da Kaspersky Lab são capazes de preparar ferramentas especiais que podem descriptografar os dados já criptografados (http://support.kaspersky.com/viruses/disinfection). Às vezes, o software malicioso é tão complexo que não é possível criar uma ferramenta de decriptação dentro do período de tempo especificado.

 

O processo de resposta a este tipo de infecção consiste em 3 etapas:

 

***********************************************************

I - CONFIRMAR DE QUE NÃO EXISTE NENHUMA INFECÇÃO ATIVA

***********************************************************

 

Caso haja a suspeita de que a infeção ainda está ativa, você pode utilizar os utilitários abaixo para verificar se existe uma infecção no ambiente. A ferramenta mais eficiente e recomendada para este caso seria o Rescue Disk.

 

1. Rescue Disk (Boot)

 

http://support.kaspersky.com/viruses/rescuedisk#downloads

http://support.kaspersky.com/8092

http://support.kaspersky.com/8093

 

2. Kaspersky Virus Removal Tool 2015

 

http://support.kaspersky.com/viruses/kvrt2015#downloads

 

3. Free AntiVirus

 

http://www.kaspersky.com/free-virus-scan

 

Informações adicionais:

 

http://brazil.kaspersky.com/sobre-a-kasper...og-da-kaspersky

http://www.kaspersky.com/viruswatchlite?hour_offset=-8 : Lista de vírus conhecidos

https://securelist.com : Site Global para pesquisa de informações sobre ameaças.

http://www.kaspersky.com/viruswatchlite/ : Outro site para pesquisa sobre ameaças.

http://support.kaspersky.com/viruses/utility : Todos os utilitários de combate a ameaças.

http://go.kaspersky.com/rs/kaspersky1/imag...s_Q12015.pdf%20

http://scan.kaspersky.com

 

***********************************************************

II - SE PROTEGER DE FUTURAS INFECÇÕES

***********************************************************

 

Para garantir um bom nível de proteção contra este tipo de ameaça, 4 fatores importantes devem ser levados em consideração.

 

1. Vulnerabilidades no Sistema Operacional e outros aplicativos

 

Existem técnicas avançadas de vírus que se aproveitam de vulnerabilidades no sistema operacional e em outros aplicativos como o Office, Adobe Reader, Flash, Java, Etc para se "esconder" do Antivírus. Por esse razão é altamente recomendado que atualizações críticas e de segurança sejam aplicadas nas estações de trabalho e servidores.

 

2. Utilizar o produto e a versão adequada

 

Nós recomendamos sempre utilizar a ultima versão do Kaspersky Endpoint Security nas estações de trabalho e o Kaspersky Security for Windows Server em servidores, a ultima versão desses produtos sempre terá a engine mais nova que possui um mecanismo melhor para detectar ameaças malware de criptografia.

 

3. Base de Vírus Atualizada

 

Apesar dos nossos produtos possuírem módulos que possuem a capacidade de detectar ameaças desconhecidas, a forma mais eficiente de detecção é através da base de vírus do produto. Por esta razão é recomendado manter o produto atualizado sempre que possível.

 

4. Módulos de Proteção Ativados

 

É importantíssimo que os módulos "Antivírus de Arquivo/File Antivírus" e o "Inspetor do Sistema/System Watcher" esteja o tempo todo ativado nas estações de trabalho que utilizando o Kaspersky Endpoint Security como antivírus.

 

No caso do Kaspersky Security for Windows Server os módulos fundamentais são o "Real Time Protection" e o "Anti-Cryptor".

 

Você pode forçar esta configuração através da política do produto no Kaspersky Security Center. É importante lembrar que se a senha de proteção do produto não estiver na ativa no produto, o usuário pode desabilitar temporariamente a proteção tornando o ambiente vulnerável a infecções. Recomendamos ativar a proteção por senha do produto.

 

Vídeo mostrando como ativar a senha na política do produto no KSC - https://box.kaspersky.com/f/bce86644b8/?dl=1

 

Por favor, reveja os artigos KB da Kaspersky Lab com as recomendações de proteção geral contra cripto-vírus:

 

Português:

 

https://blog.kaspersky.com.br/ransomware-10-tips/5866/

https://blog.kaspersky.com.br/tag/ransomware/

 

Inglês:

 

http://support.kaspersky.co.uk/viruses/common/10952

http://support.kaspersky.com/us/10905

 

Lista das ultimas versões do produto

 

Favor validar através dos links:

 

http://support.kaspersky.com/technews

http://forum.kaspersky.com/index.php?showforum=88

http://support.kaspersky.com/support/lifecycle

 

====================================================================

Kaspersky Security Center 10 SP2 v.10.3.407

====================================================================

 

Português - https://forum.kaspersky.com/index.php?showtopic=351763

Inglês - https://forum.kaspersky.com/index.php?showtopic=351492

 

================================================================================

Kaspersky Endpoint Security 10 Service Pack 1 Maintenance Release 3 for Windows (RECOMENDADO PARA ESTAÇÕES DE TRABALHO)

================================================================================

 

Português - https://forum.kaspersky.com/index.php?showtopic=356376

Inglês - https://forum.kaspersky.com/index.php?showtopic=355707

 

=====================================================================

Kaspersky Security 10 for Windows Server (ver. 10.0.0.486) - Inglês (RECOMENDADO PARA SERVIDORES)

=====================================================================

 

https://forum.kaspersky.com/index.php?showtopic=347789

 

 

***********************************************************

III - VERIFICAR A POSSIBILIDADE DE RECUPERAR OS ARQUIVOS

***********************************************************

 

Segue a lista de utilitários para tentar descriptografar os arquivos. Não há garantias de que a ferramenta será capaz de descriptografar, vai depender muito da tecnologia empregada na criptografia dos arquivos.

 

http://support.kaspersky.com/viruses/disinfection/4264

http://support.kaspersky.com/viruses/disinfection/11718

http://support.kaspersky.com/viruses/disinfection/2911

http://support.kaspersky.com/viruses/disinfection/10556

http://support.kaspersky.com/viruses/disinfection/8547

http://support.kaspersky.com/11333

https://noransom.kaspersky.com/

https://www.nomoreransom.org/

 

Mais informações:

 

http://support.kaspersky.com/viruses/common/10952#block3

https://blog.kaspersky.com/raknidecryptor-v...eslacrypt/12169

https://blog.kaspersky.com/ransomware-faq/13387/

 

Uma possibilidade de recuperar os arquivos seria utilizar um utilitário que recupera arquivos deletados ou um utilitário que acessa a área de Shadow Copy do disco.

 

Favor abrir um chamado através do nosso portal de suporte técnico http://companyaccount.kaspersky.com para enviar amostras dos arquivos afetados e/ou uma amostra do vírus em um arquivo compactado e protegido pela senha "infected" para ser encaminhado ao nosso laboratório de vírus e verificar se é possível recuperar os arquivos e/ou efetuar uma análise na amostra do vírus.

Share this post


Link to post
Guest
This topic is now closed to further replies.

×
×
  • Create New...

Important Information

We use cookies to make your experience of our websites better. By using and further navigating this website you accept this. Detailed information about the use of cookies on this website is available by clicking on more information.