Como responder a uma infecção de ransomware
Artigos técnicos ID:
KB89805
Última modificação: 2022-07-12 20:22:38 Etc/GMT
Ambiente
Endpoint Security (ENS) Prevenção contra ameaças 10.x
Host Intrusion Prevention (host IPS) 8.0
VirusScan Enterprise (VSE) 8.8
Resumo
Este artigo fornece orientação geral para os primeiros respondentes durante uma epidemia de ransomware.
O ransomware é malware que emprega a criptografia assimétrica para manter as informações de uma vítima em ransomware. A criptografia assimétrica (pública privada) é a criptografia que usa um par de chaves para criptografar e descriptografar um arquivo. O atacante gera um par de chaves público-privado de forma exclusiva para a vítima, com a chave privada para descriptografar os arquivos armazenados no servidor do invasor. O usuário comprometido precisa pagar um resgate para obter as chaves privadas a fim de descriptografar os arquivos.
Atualmente, muitas variações diferentes de ransomware existem. Normalmente, ransomware e outras malware são distribuídas usando campanhas de spam, e-mails de phishing ou ataques direcionados. Nossos produtos de segurança usam várias tecnologias que ajudam a impedir o ransomware.
Execute as etapas a seguir para responder a uma epidemia de ransomware em seu ambiente:
- Identificar e isolar os sistemas afetados.
Isolar os sistemas afetados ajuda a impedir a disseminação da ameaça. Nem todas as ameaças ou variantes do ransomware exibem esse comportamento. Para obter mais informações, consulte KB81336-como criar um relatório de origem da ameaça para VirusScan Enterprise no EPolicy Orchestrator.
- Aplique atualizações de vulnerabilidades e garanta a conformidade ambiental:
- Aplique todas as atualizações de fornecedor ou sistema operacional em todos os sistemas. Essa ação é essencial para atenuar a vulnerabilidade que o malware está explorando. Deixar até mesmo um sistema não atualizado expõe um buraco em seu ambiente que o malware pode aproveitar.
- Verifique se o ambiente está em conformidade com base na política de segurança existente. Nem todas as variantes do ransomware exploração de aplicativos ou de vulnerabilidades do sistema operacional.
- Aplique as regras do ENS/host IPS/VSE relacionadas aos sistemas on-line para todos os comportamentos de ransomware conhecidos. Consulte os artigos relacionados para obter detalhes:
- Confirme se as práticas recomendadas recomendadas estão corretas. Consulte os artigos relacionados para obter detalhes:
- Aplicar, testar e distribuir o extra .DAT relacionado (se disponível).
Um extra .DAT é um arquivo de detecção temporário fornecido para detectar e remover ameaças. Trata-se de um arquivo que ainda não foi adicionada aos arquivos DAT regulares. Se McAfee Labs forneceu um extra. DAT, a prática recomendada é aplicá-lo e testá-lo localmente em um sistema infectado. Depois de testar corretamente o extra. DAT, aplique-o para executar uma varredura por solicitação completa do sistema (ODS).
- Execute um ODS completo em todos os sistemas.
- Confirme o controle do ambiente.
Verifique se há ameaças detectadas nas últimas 24 horas. Para obter mais informações, consulte os artigos relacionados:
- Coloque os sistemas isolados novamente on-line depois de confirmar a limpeza.
Depois que os sistemas isolados tiverem sido confirmados, recomendamos colocá-los on-line novamente em pequenos grupos e monitorr o seu comportamento depois disso.
- Restaure os arquivos afetados a partir de um backup.
Quando todos os sistemas estiverem limpos e forem revertidos na rede, restaure os arquivos de aplicativo afetados de uma origem de backup em boas condições ou de um volume de sombra de Windows.
- Execute respostas a incidentes e medidas proativas.
O bloqueio de tipos de arquivo no gateway é a melhor e mais fácil linha de defesa (consulte os tipos de arquivo listados abaixo). O ransomware, downloaders e JS/Nemucod todos se disfarçam uns dos outros. De maneira geral, os downloads chegam em e-mails de spam ou de phishing como DOC ou XLS e com menos frequência como o JS. O JS/Nemucod chega a e-mails de spam ou de phishing, já que J. o ransomware é enviado como JS, EXE, TMP, SCR e WSF. A maioria dos instaladores descarta um EXE no diretório de perfil do usuário. É mais fácil proteger-se contra ransomware se você também se proteger contra seus instaladores e droppers.
Para downloaders e Nemucod (cavalo de Tróia), crie regras de firewall para impedir Microsoft Word, Microsoft Excel, scripts e o PowerShell de fazer chamadas de saída. Você também precisa criar listas de permissão apropriadas com base no tráfego legítimo gerado por esses aplicativos.
Por exemplo, se uma organização usa o Office 365, consulte o documento do Microsoft office 365 URLs e faixas de endereço IP. Os pontos de extremidade incluem nomes de domínio, portas, URLs, intervalos de endereços IPv4 e intervalos de endereços IPv6 totalmente qualificados a serem incluídos nas listas de permissão de saída. Esses pontos de extremidade garantem que os seus computadores possam usar o Office 365 com êxito.
Também é recomendável bloquear arquivos mortos, caso não sejam comparadas às políticas da empresa. Os exemplos de arquivos mortos são ZIP, RAR, TAR e JAR.
- Considere a implementação de mais recomendações:
- Implemente conscientização e treinamento em segurança:
- Simule uma campanha de phishing/spam para trazer a conscientização da segurança para os usuários que se enquadram em ataques de engenharia social.
- Peça aos usuários que pensem duas vezes antes de clicar em qualquer link enviado por e-mail.
- Instrua os usuários a não abrir anexos de arquivo desnecessários ou não solicitados, a menos que sejam solicitados do remetente. Exiba o cabeçalho do e-mail ou envie um e-mail separado para validar o remetente antes de abrir os anexos.
- Relate e-mails suspeitos ao centro de operações de segurança da organização. Lembre seus usuários de como e onde enviar e-mails suspeitos com segurança.
- Desativar macros em aplicativos Microsoft Office. As macros podem ser executadas em aplicativos do Office se qualquer uma das ações abaixo for executada:
- Selecione a opção ativar todas as macros em configurações de macro.
- Ative manualmente uma macro.
Nota: As macros são desativadas por padrão. Recomendamos que você selecione a opção desativar todas as macros com notificação em configurações de macro.
- Os usuários devem fazer o backup dos dados de negócios nas pastas compartilhadas da organização. Os dados que residem nos dispositivos de usuário podem ser permanentemente perdidos durante a infecção de um ransomware.
- Bloqueie .EXE , .RAR , .SCR , .CAB.WSF.VBS.BAT.JS ,,,,, e os anexos semelhantes no email e no gateway da Web.
- Impeça que o PowerShell seja executado em sistemas nos quais o PowerShell não se destina a ser executado.
- Verifique se não há políticas de lista permitidas que isentam .doc , .docx , .xls.xlsx , ou .JS anexos de antispam ou varredura antivírus.
- Instale o plug-in de SiteAdvisor Enterprise do navegador para detectar spam anexos e bloquear o acesso a domínios maliciosos.
- Use produtos de gateway de Web e e-mail que identifiquem links maliciosos e bloqueiem e-mails com links ou anexos.
- Filtragem de spam do Ativar.
Descargo de responsabilidad
El contenido de este artículo se creó en inglés. En caso de darse cualquier diferencia entre el contenido en inglés y su traducción, el primero siempre será el más preciso. La traducción de algunas partes de este contenido la ha proporcionado Microsoft mediante el uso de traducción automática.
|