Posted by: S4TI Solutions
Comments: 0
Post Date: março 24, 2022
Só porque um ataque de ransomware chegou ao seu computador ou rede não significa que não há nada que você possa fazer para melhorar a situação. Muitas vezes, você pode limitar os danos do ransomware agindo rapidamente.
Identificar
O próximo passo é verificar o tipo de malware usado para infectar seu sistema com ransomware. Em alguns casos, conhecer o tipo de malware usado pode ajudar uma equipe de resposta a incidentes a encontrar uma solução. As chaves de descriptografia de alguns ataques de ransomware já são conhecidas, e conhecer o tipo de malware usado pode ajudar a equipe de resposta a descobrir se a chave de descriptografia já está disponível. Se for, eles podem usá-lo para desbloquear seu computador, burlando o objetivo do invasor.
Além disso, o tipo de malware pode ajudar a determinar outras formas de lidar com a ameaça. Para entender suas opções de correção, sua equipe de TI ou consultor externo precisará saber com que tipo de malware está lidando, tornando a identificação precoce uma etapa crítica.
Isolar
Isolar o ransomware é o primeiro passo que você deve dar. Isso pode evitar ataques leste-oeste, onde o ransomware se espalha de um dispositivo para outro por meio de suas conexões de rede. Você deve primeiro desligar o sistema que foi infectado. Desligá-lo impede que ele seja usado pelo malware para espalhar ainda mais o ransomware.
Você também deve desconectar quaisquer cabos de rede conectados ao dispositivo. Isso inclui qualquer coisa que conecte o dispositivo infectado à própria rede ou dispositivos na rede. Por exemplo, seu dispositivo pode estar conectado a uma impressora vinculada à rede local (LAN) . Desconectar a impressora pode impedir que ela seja usada para espalhar o ransomware.
Além dos cabos de hardware, você também deve desligar o Wi-Fi que atende a área infectada pelo ransomware. A conexão Wi-Fi pode ser usada como um canal para espalhar o ransomware para outros dispositivos conectados à mesma rede Wi-Fi. Desligá-lo pode impedir esse tipo de propagação leste-oeste antes que comece. No entanto, se já tiver começado quando você perceber que o computador foi infectado, cortar o Wi-Fi pode impedir que ele se espalhe ainda mais.
Os dispositivos de armazenamento conectados à rede também precisam ser desconectados imediatamente. O ransomware pode potencialmente encontrar o dispositivo de armazenamento e infectá-lo. Se isso acontecer, qualquer dispositivo que se conecte ao sistema de armazenamento pode ser infectado. Isso pode acontecer imediatamente ou em algum momento no futuro. Portanto, se você foi vítima de um ataque de ransomware, é importante presumir que cada dispositivo de armazenamento foi infectado e limpá-los antes de permitir que qualquer dispositivo em sua rede se conecte a eles.
Remova o malware
Pode ser desnecessário dizer que você precisa remover o malware, mas a necessidade dessa etapa é menos importante do que o momento certo. É importante tentar remover o malware somente após as etapas anteriores, isolamento e identificação, terem sido executadas. Se você tentar remover o malware antes de isolá-lo, ele poderá usar o tempo que você leva para desinstalá-lo para se espalhar para outros dispositivos conectados à rede.
Além disso, se você remover o malware antes que ele possa ser identificado, poderá perder a oportunidade de coletar informações sobre ele que podem ser úteis para sua equipe de resposta a incidentes, consultores externos ou autoridades.
Depois de executar as etapas anteriores, a remoção do malware pode impedir que ele chegue a outros dispositivos. Mesmo que o computador não esteja mais conectado à rede, o malware pode se espalhar posteriormente se não for removido.
Recupere os dados
Assim que o ataque for contido e seu computador estiver protegido e limpo, você deve começar a recuperar seus dados. Isso pode ajudar a garantir a continuidade dos negócios e melhorar sua resiliência, principalmente se o backup dos dados tiver sido feito recentemente.
A recuperação de dados bem-sucedida depende de um programa de recuperação de dados implementado antes do ataque. Se o backup dos dados for feito várias vezes ao dia, por exemplo, um ataque só atrasará algumas horas, na pior das hipóteses. Você pode usar serviços baseados em nuvem ou hardware local para fazer backup de seus dados, desde que qualquer serviço que você use possa ser acessado de um dispositivo diferente. Garantir o acesso pode exigir o armazenamento seguro das informações de login, em vez de apenas nos dispositivos que acessam o armazenamento de backup.
Nunca pague o resgate
Quando um ataque de ransomware ocorre, pode ser tentador pagar o resgate. Um usuário pode argumentar que está perdendo mais dinheiro do que o invasor está pedindo com o passar do tempo. Por exemplo, se os sistemas críticos forem desligados e os clientes não puderem fazer compras, as perdas podem facilmente chegar aos milhares. Se o invasor estiver pedindo algumas centenas de dólares, você pode achar que pagar seria a escolha prudente. No entanto, este não é o caso.
Semelhante a sequestradores e terroristas que mantêm humanos em cativeiro, os hackers dependem de ataques de ransomware para extorquir as vítimas com sucesso. Se um número suficiente de usuários se recusar a pagar o resgate, os invasores podem pensar duas vezes antes de usar o ransomware, investindo suas energias em um empreendimento potencialmente mais lucrativo. Portanto, quando você se recusa a pagar o resgate, está ajudando outras pessoas que podem ser alvos no futuro.
Além disso, se você pagar uma vez, os invasores saberão que você provavelmente pagará novamente quando enfrentar uma situação semelhante. Portanto, ao pagar, você pode se identificar como um alvo potencialmente lucrativo para ataques futuros.
Quando você deve pagar o resgate? (E quando não pagar)
De um modo geral, você nunca deve pagar o resgate. Pagar pode dizer ao atacante que ele pode se safar de extorquir você, fazendo com que ele retorne para um segundo ataque mais tarde. Também prejudica outras pessoas, pois envia uma mensagem à comunidade de hackers de que o ransomware ainda é um vetor de ataque eficaz . Além disso, lembre-se de que, uma vez que você pague o resgate, não há garantia de que o invasor permitirá que você volte ao seu computador.
No entanto, dizer não pode ser mais fácil dizer do que fazer, especialmente quando você não tem um plano de backup ou resiliência adequado. Embora nunca seja aconselhável pagar o resgate, talvez seja necessário pesar as consequências antes de tomar uma decisão final. Você pode querer considerar os seguintes fatores:
- Quanto custará recuperar dados perdidos
- Se o seu seguro cibernético – se você tiver algum – pode ajudar a custear parte do custo
- Quanto custará reconstruir sistemas que foram destruídos pelo ataque
