{"id":16983,"date":"2021-02-19T19:16:09","date_gmt":"2021-02-19T22:16:09","guid":{"rendered":"https:\/\/www.kaspersky.com.br\/blog\/?p=16983"},"modified":"2021-02-22T15:18:47","modified_gmt":"2021-02-22T18:18:47","slug":"ransomware-attack-what-to-do","status":"publish","type":"post","link":"https:\/\/www.kaspersky.com.br\/blog\/ransomware-attack-what-to-do\/16983\/","title":{"rendered":"Dados criptografados. E agora?"},"content":{"rendered":"

Voc\u00ea leu nossos milhares de artigos<\/a> sobre como proteger sua rede de todas as amea\u00e7as da terra cibern\u00e9tica. Mas \u00e0s vezes, apesar de todas as precau\u00e7\u00f5es, uma invas\u00e3o acontece. Agora \u00e9 a hora de esfriar a cabe\u00e7a e tomar a\u00e7\u00f5es r\u00e1pidas e assertivas. Sua resposta ajudar\u00e1 a determinar se o incidente se torna uma dor de cabe\u00e7a mortal para a empresa ou apenas uma pedra inconveniente em seu sapato.<\/p>\n

Conforme voc\u00ea avan\u00e7a no processo de recupera\u00e7\u00e3o, n\u00e3o se esque\u00e7a de documentar todas as suas a\u00e7\u00f5es para garantir as melhores pr\u00e1ticas de transpar\u00eancia aos olhos dos funcion\u00e1rios e do mundo em geral. E tente preservar qualquer evid\u00eancia que voc\u00ea puder do ransomware<\/a> para que posteriormente se possa localizar quaisquer outras ferramentas maliciosas direcionadas para invadir o seu sistema. Isso significa salvar logs e outros vest\u00edgios de malware que podem ser \u00fateis durante uma investiga\u00e7\u00e3o.<\/p>\n

Parte um: localizar e isolar<\/h2>\n

Seu primeiro passo \u00e9 determinar a extens\u00e3o da invas\u00e3o. O malware se espalhou por toda a rede? Para mais de um departamento?<\/p>\n

Comece procurando computadores e segmentos de rede infectados na infraestrutura corporativa e isole-os imediatamente do restante da rede para limitar a contamina\u00e7\u00e3o.<\/p>\n

Se a empresa n\u00e3o tiver muitos computadores, comece com antiv\u00edrus, EDR e logs de firewall. Como alternativa, para empresas pequenas, alterne fisicamente de m\u00e1quina em m\u00e1quina e verifique-as.<\/p>\n

Se estamos falando de muitos computadores, voc\u00ea provavelmente dever\u00e1 analisar os eventos e registros no sistema SIEM<\/a>. Isso n\u00e3o eliminar\u00e1 todo o trabalho bra\u00e7al posterior, mas \u00e9 um bom come\u00e7o para esbo\u00e7ar seu quadro geral.<\/p>\n

Depois de isolar as m\u00e1quinas infectadas da rede, crie imagens de disco e, se poss\u00edvel, deixe essas m\u00e1quinas sem uso at\u00e9 que a investiga\u00e7\u00e3o termine. (Se a empresa n\u00e3o pode permitir o tempo de inatividade do computador, fa\u00e7a imagens de qualquer maneira \u2013 e salve o despejo de mem\u00f3ria para a investiga\u00e7\u00e3o.)<\/p>\n

Parte dois: Analisar e agir<\/h2>\n

Tendo verificado o per\u00edmetro, agora voc\u00ea tem uma lista de m\u00e1quinas com discos cheios de arquivos criptografados, al\u00e9m de imagens desses discos. Eles est\u00e3o todos desconectados da rede e n\u00e3o representam mais uma amea\u00e7a. Voc\u00ea poderia <\/em> iniciar o processo de recupera\u00e7\u00e3o imediatamente, mas primeiro, verifique a seguran\u00e7a do resto da rede.<\/p>\n

Agora \u00e9 a hora de analisar o ransomware, descobrir como ele entrou e quais grupos normalmente o usam \u2013 ou seja, iniciar o processo de ca\u00e7a \u00e0s amea\u00e7as. O ransomware n\u00e3o simplesmente aparece; um dropper<\/a>, RAT<\/a>, Trojan loader<\/a> ou algum outro programa desse tipo o instalou. Voc\u00ea precisa cortar o mal pela raiz.<\/p>\n

Para isso, conduza uma investiga\u00e7\u00e3o interna. Pesquise nos logs para determinar qual computador foi atingido primeiro e por que esse computador n\u00e3o conseguiu interromper o ataque.<\/p>\n

Com base nos resultados da investiga\u00e7\u00e3o, elimine a rede de malware furtivo avan\u00e7ado e, se poss\u00edvel, reinicie as opera\u00e7\u00f5es comerciais. Em seguida, descubra o que o teria impedido: O que estava faltando em termos de software de seguran\u00e7a? N\u00e3o deixe brechas.<\/p>\n

Em seguida, alerte os funcion\u00e1rios sobre o que aconteceu, informe-os sobre como detectar e evitar essas armadilhas e, assim que poss\u00edvel, promova treinamentos<\/a> a eles.<\/p>\n

Por fim, de agora em diante, instale atualiza\u00e7\u00f5es e patches em tempo h\u00e1bil. O gerenciamento de atualiza\u00e7\u00f5es e corre\u00e7\u00f5es \u00e9 uma prioridade cr\u00edtica para administradores de TI. Malware frequentemente se esgueira atrav\u00e9s de vulnerabilidades para as quais as patches j\u00e1 est\u00e3o dispon\u00edveis.<\/p>\n

Parte tr\u00eas: limpar e restaurar<\/h2>\n

A essa altura, voc\u00ea j\u00e1 conseguiu gerenciar a amea\u00e7a \u00e0 rede, bem como fechar o buraco por onde ela passou. Agora, volte sua aten\u00e7\u00e3o para os computadores que est\u00e3o fora de servi\u00e7o. Se eles n\u00e3o forem mais necess\u00e1rios para a investiga\u00e7\u00e3o, formate as unidades e restaure os dados do backup mais recente e seguro que tiver.<\/p>\n

Se, no entanto, voc\u00ea n\u00e3o tiver uma c\u00f3pia de backup, ter\u00e1 que tentar descriptografar o que estiver nas unidades. Comece no site No Ransom<\/a> da Kaspersky, onde j\u00e1 pode existir um descriptografador para o ransomware que invadiu sua empresa \u2013 e se n\u00e3o existir, entre em contato com o seu provedor de ciberseguran\u00e7a e pe\u00e7a suporte. De qualquer maneira, n\u00e3o exclua os arquivos criptografados. Novas ferramentas para quebrar este tipo de criptografia aparecem de vez em quando, e pode haver um amanh\u00e3; n\u00e3o seria a primeira vez<\/a>.<\/p>\n

Independentemente do que foi atacado, n\u00e3o pague. Voc\u00ea estaria patrocinando atividades criminosas e, de qualquer forma, as chances de ter seus dados descriptografados s\u00e3o pequenas. Al\u00e9m de bloquear seus dados, o hacker de ransomware pode t\u00ea-los roubado para fins de chantagem<\/a>. Por fim, pagar cibercriminosos gananciosos os incentiva a pedir mais. Em alguns casos, poucos meses ap\u00f3s o pagamento, os invasores voltam para exigir mais dinheiro e amea\u00e7aram publicar tudo, a menos que o recebam.<\/p>\n

Em geral, considere qualquer dado roubado conhecimento p\u00fablico e esteja preparado para lidar com o vazamento. Mais cedo ou mais tarde, voc\u00ea ter\u00e1 que falar sobre o ocorrido: com funcion\u00e1rios, acionistas, \u00f3rg\u00e3os governamentais e, possivelmente, jornalistas. A abertura e a honestidade<\/a> s\u00e3o importantes e ser\u00e3o apreciadas.<\/p>\n

Parte quatro: tome medidas preventivas<\/h2>\n

Um grande incidente cibern\u00e9tico sempre significa um problema de enormes propor\u00e7\u00f5es, e a preven\u00e7\u00e3o \u00e9 o melhor rem\u00e9dio. Prepare-se com anteced\u00eancia para o que pode dar errado:<\/p>\n