Como parar um ransomware que não se pode encontrar?
Imagine que você foi atingido por um ransomware.
Todos os seus arquivos de dados estão embaralhados, você está olhando para uma nota de resgate exigindo 1.000 dólares e está pensando: “Gostaria de não ter adiado a atualização desse software de segurança…”
Quando a poeira abaixar – preferivelmente depois de ter restaurado a partir da última cópia de segurança, em vez de pagar a taxa de chantagem – e tenha resolvido a situação, a questão é…
… De onde veio o malware?
Mas e se, não importa o quão cuidadosamente e profundamente você escaneie, você não consegue encontrar nenhum vestígio de que já houve algum malware no seu computador?
Infelizmente, como a Bleeping Computer recentemente relataram, isso pode acontecer, e é um caso em que não ser infectado é na verdade um mau sinal, e não um bom sinal.
A equipe da Bleeper teve vários relatos de usuários cujos arquivos foram embaralhados à distância pela internet, por ransomware sendo executado no computador de outra pessoa.
É um pouco como sofrer de um ataque de malware enquanto você tem um disco USB conectado – se o seu computador puder acessar arquivos no dispositivo plug-in através do cabo USB, você terminará com arquivos embaralhados em seu laptop e o disco USB, mas o próprio programa de malware só será exibido no seu laptop.
O drive USB será afetado, mas não infectado
O mesmo tipo de coisa geralmente acontece na rede local em ataques de ransomware dentro de uma empresa, onde um único computador infectado na rede acaba embaralhando arquivos em todos os seus servidores, porque o usuário estava logado com uma conta que tinha rede difundida.
No final, centenas de usuários e centenas de milhares de arquivos são afetados, mesmo que apenas um usuário e um computador tenham sido infectados.
Na internet?
A Bleeping Computer apelidou esta última linha de ransomware de controle remoto NamPoHyu – que é o apelido que aparece quando você visita a página da web do malware – mas o nome não ajuda muito, porque não há nenhum arquivo de malware que você possa procurar se o ataque começa de longe.
Poderia ter sido quase qualquer ransomware que causou o dano, e esse é o problema.
É claro, isso levanta as questões: “Como o malware pode se misturar com arquivos na internet, e como os criminosos podem intencionalmente mirá-lo em mim?”
Claro, muitas empresas e muitos usuários domésticos executam servidores da Web, servidores de jogos, servidores de acesso remoto e assim por diante, mas quem executa servidores de arquivos simples e antigos pela Internet?
Quem deixaria seu computador sentado on-line para que criminosos em qualquer lugar do mundo pudessem digitar um comando de mapeamento de rede do Windows como o abaixo?
C: \> net use j: \\ 203.0.113.42 \ C $
Se o seu computador estiver on-line no número IP 203.0.113.42 e aceitar conexões de rede do Windows, o comando acima deixará os ladrões com uma unidade J: que permite que eles percorram seus arquivos à vontade, tão facilmente como se esses arquivos estivessem em seu drive C:.
Poucos, se for o caso, deixariam os vigaristas compartilharem suas unidades locais de propósito, mas surpreendentemente muitos deixam seus discos locais abertos por acidente.
O protocolo de compartilhamento de arquivos da Microsoft – o protocolo que permite abrir seus discos com o comando net share e conectar aos discos de outras pessoas com uso de rede – agora é oficialmente conhecido como CIFS, abreviação de Common Internet File System, mas começou com o jargão nome do Bloco de Mensagens do Servidor ou SMB.
No início dos anos 90, quando o prolífico codificador australiano Andrew Tridgell iniciou sua implementação de código aberto para SMBs, de modo que os computadores Linux e Windows pudessem trabalhar juntos mais facilmente, a sigla SMB foi transformada no nome pronunciável “Samba”, e esse é o nome que você provavelmente vai ouvir usado com mais freqüência nos dias de hoje, por usuários do Windows e Linux.
O Samba é o que faz o compartilhamento, e os compartilhamentos são o que você conecta nos servidores que você deveria acessar.
Administradores podem usar C$ e ADMIN$ para acessar C:\ e C:\Windows remotamente. Com uma senha de administrador você pode deletar esses compartilhamento, mas, por padrão, elas são recriadas quando se reinicia o computador.
Você pode criar seus próprios compartilhamentos (use o comando net share para listar todos eles) com nomes úteis, como DOCUMENTS ou SOURCECODE, e o Windows adicionará automaticamente alguns especiais, por exemplo dois (e difíceis de remover) compartilhamentos chamados C $ e ADMIN $ que fornecem acesso remoto diretamente à sua unidade C: e ao diretório do Windows, respectivamente.
Irritantemente, os compartilhamentos com nomes que terminam em $ estão ocultos, por isso é fácil esquecer que eles estão lá – algo que muitas pessoas, infelizmente, fazem.
Nem todo mundo pode invadir C $ e ADMIN $, é claro – você precisa de acesso à rede diretamente no computador de destino, o qual normalmente não usaria por meio de um firewall ou roteador doméstico, e precisa da senha de um administrador.
Por enquanto, tudo bem…
… Exceto que muitos usuários têm hábitos desleixados quando se trata de escolher senhas, tornando-as fáceis de adivinhar, e muitos dispositivos que nunca deveriam ser acessíveis ao mundo exterior aparecem por engano nos mecanismos de busca da internet.
AVISO. É tentador e perigosamente fácil, quando você está em casa com problemas para jogar o jogo mais recente, por exemplo, contornar os problemas de configuração simplesmente diminuindo os escudos de segurança do seu firewall. Talvez você tenha entrado no seu roteador e informado temporariamente que seu laptop era o seu “servidor de jogos”, por exemplo? Se você permitiu em todo o tráfego para solução de problemas, quantos bandidos deram uma olhada enquanto sua segurança estava desligada? Se tudo começou a funcionar enquanto você estava testando, você se lembra de colocar seus escudos de volta depois, ou sua solução temporária se tornou permanente?
Ataques de ransomware remotos
Simplificando, se bandidos podem ver seus compartilhamentos do Samba por aí na internet, e podem adivinhar sua senha, eles podem, teoricamente, entrar e fazer o que quiserem com seus arquivos.
Eles podem, portanto, atacar seu computador – manualmente ou automaticamente – simplesmente apontando um de seus computadores, ou o computador invadido por outra pessoa, para você e deliberadamente “infectando” a si mesmo com qualquer ransomware habilitado para rede que eles prefiram.
Muitos, se não a maioria, de amostras modernas de ransomware incluem um recurso para localizar e atacar todas as unidades visíveis no momento da infecção, para maximizar os danos e aumentar as chances de acabar pagando – o que inclui discos rígidos secundários, dispositivos USB conectados no momento e qualquer compartilhamento de arquivo aberto.
Em outras palavras, se você está em risco de um ataque de ransomware remoto, a situação real é muito pior do que isso.
Pode parecer pouco reconfortante, mas um ataque de ransomware é um dos seus resultados “menos piores”, porque seus arquivos são sobrescritos, mas não roubados.
Em vez de arruinar seus arquivos, os bandidos poderiam simplesmente copiá-los da sua rede para usar mais tarde, e esse tipo de ataque [a] seria muito menos perceptível [b] seria impossível reverter e [c] afetaria e exporia qualquer outra pessoa cujos dados foram armazenados nesses arquivos.
O que fazer?
- Escolha senhas fortes. E não reutilize senhas nunca. Você pode assumir que os criminosos que encontrarem sua senha em um despejo de dados de um site invadido tentarão imediatamente a mesma senha em qualquer outra conta ou serviço online que você tenha. Não deixe a senha da sua assinatura de jornal on-line dar aos ladrões uma carona grátis em seu webmail, suas mídias sociais e quaisquer computadores e compartilhamentos de arquivos que você tenha.
- Mantenha seus escudos empunhados. Se você estiver com problemas de conexão, resista à tentação de “desligar o firewall” ou “ignorar o roteador” para ver se isso resolve o problema. Isso é um pouco como desconectar os freios do seu carro e depois dar um passeio para ver se o desempenho melhora.
- Execute o software anti-malware. Até nos servidores. Especialmente em servidores. Seu laptop não deveria estar aberto à internet e geralmente não será. No entanto, muitos de seus servidores estão on-line e acessíveis ao mundo propositalmente. Por isso, embora possam ser protegidos por um firewall, eles não podem ser totalmente protegidos por ele, e isso é por padrão.
- Considere usar um bloqueador de ransomware. Ferramentas como o Cryptoguard da Sophos podem detectar e bloquear a parte de um ataque de ransomware em disco. Isso oferece proteção, mesmo que o próprio arquivo de malware e seu processo de execução estejam no computador de outra pessoa que você não pode controlar. Entre em contato com a SdRedes para saber mais sobre a solução Cryptoguard da Sophos.
- Faça backups regulares. E mantenha pelo menos uma cópia recente off-line, para que você possa acessar seus dados preciosos, mesmo se estiver bloqueado em seu próprio computador, em sua própria rede ou em suas próprias contas. Aliás, criptografe seus backups para que você não gaste o resto de sua vida se perguntando o que pode aparecer se algum dos seus dispositivos de backup desaparecerem.
Com informações do blog Naked Security, da Sophos – uma parceira SdRedes.
