ESPECIALISTAS DA CIPHER EXPLICAM COMO EVITAR A CONTAMINAÇÃO PELO RANSOMWARE WANNACRY
Atualização dos sistemas operacionais, não expor protocolo SMB das máquinas com Windows na internet e recuperar o último ponto de atualização estão entre as principais medidas
São Paulo, maio de 2017 – Na última sexta-feira (12), diversas empresas pararam por conta de uma onda de ataques do tipo Ransomware. Até o momento, as informações são de que mais de 200 mil sistemas foram infectados em mais de 100 países.
Os responsáveis pelo ataque demandavam pagamento de resgate até o dia 19 de maio sob a ameaça de apagar todos os dados criptografados pelo malware e a empresa infectada deveria pagar o equivalente a $300 dólares em Bitcoins por máquina para a recuperação dos arquivos.
“Recomendamos que, para prevenção imediata, seja aplicada a atualização disponibilizada pela Microsoft a partir de redes confiáveis nos sistemas operacionais Windows, pois esse tipo de ameaça Ransomware continuará rodando por algum tempo. Além disso, é importante a aplicação do “patch” e reinicialização mesmo de servidores de missão crítica, já que o impacto operacional do downtime dessas máquinas será menor do que aquele causado pela ameaça. Também recomendamos a gestão proativa de ativos, de vulnerabilidades, patches e atualizações. Além de garantir que somente as portas de comunicação necessárias em servidores e computadores estejam expostas na internet,” comenta Fernando Amatte, gerente de segurança da informação da CIPHER.
Como os ataques ainda devem continuar, os especialistas em segurança da informação da CIPHER, empresa global de cibersegurança, Fernando Amatte e Wolmer Godoi, separaram alguns cuidados para prevenção dos dados e possíveis recuperações para dados criptografados.
Dicas para prevenção:
– Acessar o Windows Update através do menu Iniciar, verificar atualizações disponíveis e aplicá-las. Caso você não tenha acesso às configurações, solicite ao gestor de TI;
– Faça backups de seus arquivos rotineiramente, a recomendação é ter seus arquivos salvos em discos rígidos locais, além de em algum serviço de armazenamento na nuvem;
– Não expor o protocolo SMB (Server Message Block) das máquinas Windows na Internet, que operada na camada de aplicações para permitir acesso compartilhado a arquivos, impressoras e portas de comunicação. Mesmo sabendo que o malware WannaCry utiliza somente a porta 445, recomendamos filtrar todo o tráfego NetBIOS (portas 137, 139 e 445 TCP, além de 137 e 138 UDP)
– Desabilitar o suporte ao protocolo SMBv1 (support.microsoft.com/en-us/help/2696547/how-to-enable-and-disable-smbv1,-smbv2,-and-smbv3-in-windows-vista,-windows-server-2008,-windows-7,-windows-server-2008-r2,-windows-8,-and-windowsserver-2012 )
Para computadores infectados:
– Uma vez que os dados em disco foram criptografados é virtualmente impossível decriptar as informações sem a chave que seria oferecida pelos criminosos após o pagamento do resgate. O usuário deverá reinstalar o sistema operacional e recuperar arquivos armazenados em Backups;
– Os sistema Windows trazem por padrão um recurso chamado Volume Shadow Copy, que permite ao sistema realizar backups ou “snapshots” dos arquivos em um local especial no disco. Recuperar o último ponto de recuperação pode restaurar o sistema a um momento anterior à infeccção;
Diferente de outros malwares do tipo Ransonware, que geram endereços, chaves e contas de Bitcoin individuais para cada vítima infectada, esta variante do WannaCry tem somente 3 contas em seu código destinadas à receber o resgate. Com milhões de computadores infectados em todo o mundo, é praticamente impossível para os cibercriminosos saber quais vítimas pagaram o valor. A recomendação é não realizar o pagamento em hipótese alguma.
“Não existem notícias até o momento de recuperação de arquivos para as empresas que efetuaram o pagamento exigido. Há indícios de que novas variantes do malware estejam sendo escritas, o que pode dar início a novas ondas de ataque nos próximos dias. A atualização imediata e reinicialização do sistema operacional é a melhor forma de estar seguro,” finaliza Wolmer Godoi, diretor de cibersegurança e serviços profissionais da CIPHER.
Fontes para entrevistas:
Wolmer Godoi – diretor de cibersegurança e serviços profissionais da CIPHER
Fernando Amatte – gerente de segurança da informação da CIPHER.
Sobre a CIPHER
Fundada em 2000, a CIPHER é uma empresa global de segurança cibernética que oferece ampla gama de produtos e serviços. Suas ofertas são suportadas pelo melhor laboratório em segurança: CIPHER Intelligence. Os escritórios estão localizados na América do Norte, Europa e América Latina com centros de operação de segurança 24/7, complementados por parceiros estratégicos ao redor do mundo. A CIPHER é altamente acreditada como provedora de Serviços Gerenciados de Segurança (MSS) por meio das certificações da empresa como ISO 20000 e ISO 27001, SOC I e SOC II, PCI QSA e PCI ASV. A CIPHER recebeu diversos prêmios, incluindo melhor MSSP da Frost & Sullivan nos últimos quatro anos. Os seus clientes são compostos por grandes empresas e agências de governo, com inúmeros cases de sucesso. A CIPHER provê às organizações, por meio de tecnologias avançadas e especializadas, serviços que os protegem contra ameaças, enquanto gerenciam riscos e asseguram a operação através de soluções inovadoras.
Capital Informação – Assessoria de Imprensa