Fluxo de remediação de ransomware
Siga estas etapas para remediar um ataque de ransomware.
Introdução
Alerta
Quando você corrige um ataque, é possível que você remova indícios de como o ataque aconteceu. Recomendamos fazer backup dos sistemas e arquivos afetados pelo ataque. Se não tiver certeza se os arquivos são seguros, você pode compactá-los para evitar que eles sejam executados.
Mais recursos
Como usar o Microsoft Autoruns para localizar malware não detetado
Interesting Windows Event IDs - Malware/General Investigation
Ransomware: Recuperação e remoção
Ransomware: Informações e prevenção
Defina o escopo do problema
Para entender o escopo do seu problema, faça o seguinte:
-
Identifique todos os endpoints e servidores afetados.
Os dispositivos afetados têm arquivos criptografados e pedidos de resgate em suas pastas.
- Se você encontrar arquivos criptografados e pedidos de resgate em compartilhamentos de arquivos, será necessário verificar qual usuário ou dispositivo os criou.
- Certifique-se de armazenar várias amostras dos arquivos criptografados e pedidos de resgate em um local acessível para que você possa identificá-los posteriormente.
-
Descubra qual conta foi comprometida.
Se você souber qual conta foi comprometida, poderá descobrir a extensão máxima de arquivos, locais e remotos, que o ransomware afetou deste dispositivo, pois as permissões da conta do usuário limitam isso. Para encontrar a conta comprometida, siga este procedimento:
- Encontre um arquivo criptografado, clique com o botão direito do mouse no arquivo e selecione Propriedades.
- Clique em Detalhes e procure o proprietário do arquivo.
- Anote as informações do proprietário do arquivo.
-
Como alternativa, você pode usar uma pasta para descobrir as informações do proprietário. Para usar uma pasta, faça o seguinte:
-
No Windows Explorer, vá para uma pasta com arquivos criptografados.
Recomendamos que você escolha um compartilhamento de arquivos na rede que seja acessível a vários usuários.
-
Escolha a exibição Detalhes, que fornece diferentes colunas de informações sobre os arquivos.
- Clique com o botão direito do mouse no cabeçalho de uma coluna e clique em Mais.
- Role para baixo e selecione Proprietário na lista e clique em OK.
-
-
Diferentes dispositivos infectados podem ter diferentes contas comprometidas. Você precisa repetir esse processo em todos os dispositivos infectados e criar uma lista de contas comprometidas.
- Certifique-se de anotar todas as contas comprometidas que tenham direitos administrativos (local e domínio).
- Quando você tiver a lista de contas, verifique a quais compartilhamentos de arquivos essas contas têm acesso de GRAVAÇÃO. Você precisa verificar todos esses compartilhamentos.
Limite o impacto do malware
Agora que tem os dados iniciais, você precisa fazer sua investigação. Primeiro, você precisa impedir que o ransomware criptografe mais dados. Para parar o ransomware, siga o procedimento abaixo:
-
Desligue todos os dispositivos infectados.
Desligar seus dispositivos é a melhor maneira de tentar salvar seus dados. Quanto mais tempo um dispositivo infectado ficar ligado, mais tempo o ransomware terá para criptografar arquivos.
-
Identifique o método de ataque do ransomware usando Ransomware: Como um ataque funciona antes do teste. Você pode perder dados devido a criptografias adicionais.
- Alguns ransomwares são executados quando você inicia um dispositivo. Faça a imagem de um dispositivo infectado e, em seguida, inicie o dispositivo infectado para ver se os arquivos ainda estão sendo criptografados.
-
Se você não conseguir determinar os dispositivos infectados, terá uma escolha difícil a fazer. Neste estágio, para salvar seus dados, desligue todos os seus dispositivos.
Isso congelará os eventos. Agora você tem tempo para continuar sua investigação.
-
Ligue seus dispositivos um por um para trabalhar neles. Limpe um dispositivo individual e passe para o próximo.
Recomendamos que você entre em contato conosco e adquira o nosso serviço Managed Detection and Response. Essa é uma equipe altamente treinada que pode fazer essa correção para você. Eles também podem fornecer análise da causa raiz e orientação contínua de segurança.
Identifique o autor do ransomware
Conhecer o autor do ransomware fornece muitas informações sobre o impacto exato que você está enfrentando. Isso ajuda a definir quais arquivos foram criptografados, o vetor da infecção mais provável (como se apresentou) e se você está enfrentando um possível problema de persistência. Isso pode ajudar a evitar a reinfecção. Se você tiver um pedido de resgate de um dispositivo infectado ou amostras dos arquivos criptografados, poderá identificar o grupo de malware responsável.
Para identificar o autor, siga este procedimento:
-
Carregue seu pedido de resgate ou amostras para https://id-ransomware.malwarehunterteam.com/.
Nota
Este site não é suportado pela Sophos.
Melhore sua segurança
Para melhorar a sua segurança, siga este procedimento:
-
Se você não mudou para o Sophos Central com Intercept X e EDR, será necessário migrar.
Essa é a nossa oferta de segurança de última geração e oferece a melhor proteção contra ameaças.
- Ela contém o CryptoGuard, que protege contra ransomwares.
- Entre em contato conosco se tiver dúvidas sobre por que isso é essencial ou como migrar. Você pode contratar nossa equipe do Rapid Response para ajudá-lo a migrar.
-
Confirme se você está seguindo nossas práticas recomendadas para configurar a política de proteção contra ameaças. Isso é importante porque seu ambiente foi comprometido recentemente. Você precisa aumentar sua segurança para ajudar a evitar a reinfecção. Siga estes links para obter mais informações:
-
Certifique-se de que todos os seus dispositivos tenham todos os patches mais recentes.
Isso protege contra muitas explorações, já que a Microsoft corrige muitas vulnerabilidades em suas atualizações.
-
Atualize todos os dispositivos que usam versões antigas de sistemas operacionais, como Windows Server 2003, Windows 2008 não R2, Windows 7 ou Windows XP.
Os sistemas operacionais Windows que não são oficialmente suportados pela Microsoft têm vulnerabilidades de segurança que não têm patches.
-
Verifique se você não tem dispositivos vulneráveis publicamente conectados à Internet.
Nota
É comum que a SMB 445, RDP 3389 ou outras portas estejam abertas. Agentes mal-intencionados podem explorar essas portas.
Você deve verificar seus dispositivos. Você precisa descobrir quais portas abriu e reduzir os riscos. Para verificar seus dispositivos, siga este procedimento.
- Você pode usar o Shodan.io ou o Censys.io com seus IPs públicos para confirmar quais portas estão visíveis fora do seu ambiente.
- Se você tiver dispositivos conectados publicamente ou portas abertas desnecessárias, altere a política de firewall para reduzir a exposição.
Restaure seus dados e operações normais
Agora que limpou todos os seus dispositivos e os protegeu com o Sophos Central Intercept X Advanced with EDR, você está pronto para voltar ao trabalho.
Para isso, siga este procedimento:
-
Restaure seus dados a partir de seus backups.
Nota
Se você quiser fazer uma análise da causa raiz, precisará de backups e imagens dos dispositivos infectados. Restaurar seus dispositivos destrói esses indícios e impossibilita a análise da causa raiz.
- Certifique-se de usar os backups de dados que você fez antes da infecção.
- Certifique-se de que você pode acessar os dados nos arquivos do backup.
-
Coloque seus dispositivos novamente online.
- Se o sistema operacional estiver danificado ou se não houver backups suficientes dos dispositivos infectados, será necessário repará-los ou compilá-los novamente.
- Siga os processos de reparo e compilação fornecidos pelo fabricante do seu sistema operacional.
-
Teste para confirmar que os dispositivos estão funcionando normalmente. Para isso, siga este procedimento:
- Verifique se podem acessar os recursos necessários.
- Verifique se os aplicativos estão sendo executados corretamente.
- Faça outros testes necessários para confirmar se os seus dispositivos estão funcionando corretamente.
-
Dê permissão para os seus usuários acessarem os dispositivos.
Análise de causa raiz
Para proteger seu ambiente no futuro, você precisa saber como a infecção aconteceu. Isso permite que você identifique as falhas no projeto e na configuração da rede ou do ambiente e melhore sua operação no futuro. Uma análise da causa raiz também ajudará.
Para fazer uma análise da causa raiz, você precisa ter backups e imagens de seus dispositivos em seus estados infectados.
Vídeo de remediação de ransomware
Este vídeo aborda este fluxo de trabalho.