Pular para o conteúdo

Permalink da página

Sempre use o permalink a seguir ao fazer referência a esta página. Ele permanecerá inalterado nas versões de ajuda futuras.

https://docs.sophos.com/central/mdr/help/pt-br/index.html?contextId=Malware

Fluxo de remediação de ransomware

Siga estas etapas para remediar um ataque de ransomware.

Introdução

Alerta

Quando você corrige um ataque, é possível que você remova indícios de como o ataque aconteceu. Recomendamos fazer backup dos sistemas e arquivos afetados pelo ataque. Se não tiver certeza se os arquivos são seguros, você pode compactá-los para evitar que eles sejam executados.

Mais recursos

Como usar o Microsoft Autoruns para localizar malware não detetado

Interesting Windows Event IDs - Malware/General Investigation

Ransomware: Recuperação e remoção

Ransomware: Informações e prevenção

Defina o escopo do problema

Para entender o escopo do seu problema, faça o seguinte:

  1. Identifique todos os endpoints e servidores afetados.

    Os dispositivos afetados têm arquivos criptografados e pedidos de resgate em suas pastas.

    1. Se você encontrar arquivos criptografados e pedidos de resgate em compartilhamentos de arquivos, será necessário verificar qual usuário ou dispositivo os criou.
    2. Certifique-se de armazenar várias amostras dos arquivos criptografados e pedidos de resgate em um local acessível para que você possa identificá-los posteriormente.

  2. Descubra qual conta foi comprometida.

    Se você souber qual conta foi comprometida, poderá descobrir a extensão máxima de arquivos, locais e remotos, que o ransomware afetou deste dispositivo, pois as permissões da conta do usuário limitam isso. Para encontrar a conta comprometida, siga este procedimento:

    1. Encontre um arquivo criptografado, clique com o botão direito do mouse no arquivo e selecione Propriedades.
    2. Clique em Detalhes e procure o proprietário do arquivo.
    3. Anote as informações do proprietário do arquivo.

  3. Como alternativa, você pode usar uma pasta para descobrir as informações do proprietário. Para usar uma pasta, faça o seguinte:

    1. No Windows Explorer, vá para uma pasta com arquivos criptografados.

      Recomendamos que você escolha um compartilhamento de arquivos na rede que seja acessível a vários usuários.

    2. Escolha a exibição Detalhes, que fornece diferentes colunas de informações sobre os arquivos.

    3. Clique com o botão direito do mouse no cabeçalho de uma coluna e clique em Mais.
    4. Role para baixo e selecione Proprietário na lista e clique em OK.

  4. Diferentes dispositivos infectados podem ter diferentes contas comprometidas. Você precisa repetir esse processo em todos os dispositivos infectados e criar uma lista de contas comprometidas.

  5. Certifique-se de anotar todas as contas comprometidas que tenham direitos administrativos (local e domínio).
  6. Quando você tiver a lista de contas, verifique a quais compartilhamentos de arquivos essas contas têm acesso de GRAVAÇÃO. Você precisa verificar todos esses compartilhamentos.

Limite o impacto do malware

Agora que tem os dados iniciais, você precisa fazer sua investigação. Primeiro, você precisa impedir que o ransomware criptografe mais dados. Para parar o ransomware, siga o procedimento abaixo:

  1. Desligue todos os dispositivos infectados.

    Desligar seus dispositivos é a melhor maneira de tentar salvar seus dados. Quanto mais tempo um dispositivo infectado ficar ligado, mais tempo o ransomware terá para criptografar arquivos.

  2. Identifique o método de ataque do ransomware usando Ransomware: Como um ataque funciona antes do teste. Você pode perder dados devido a criptografias adicionais.

  3. Alguns ransomwares são executados quando você inicia um dispositivo. Faça a imagem de um dispositivo infectado e, em seguida, inicie o dispositivo infectado para ver se os arquivos ainda estão sendo criptografados.

  4. Se você não conseguir determinar os dispositivos infectados, terá uma escolha difícil a fazer. Neste estágio, para salvar seus dados, desligue todos os seus dispositivos.

    Isso congelará os eventos. Agora você tem tempo para continuar sua investigação.

  5. Ligue seus dispositivos um por um para trabalhar neles. Limpe um dispositivo individual e passe para o próximo.

    Recomendamos que você entre em contato conosco e adquira o nosso serviço Managed Detection and Response. Essa é uma equipe altamente treinada que pode fazer essa correção para você. Eles também podem fornecer análise da causa raiz e orientação contínua de segurança.

Identifique o autor do ransomware

Conhecer o autor do ransomware fornece muitas informações sobre o impacto exato que você está enfrentando. Isso ajuda a definir quais arquivos foram criptografados, o vetor da infecção mais provável (como se apresentou) e se você está enfrentando um possível problema de persistência. Isso pode ajudar a evitar a reinfecção. Se você tiver um pedido de resgate de um dispositivo infectado ou amostras dos arquivos criptografados, poderá identificar o grupo de malware responsável.

Para identificar o autor, siga este procedimento:

  1. Carregue seu pedido de resgate ou amostras para https://id-ransomware.malwarehunterteam.com/.

    Nota

    Este site não é suportado pela Sophos.

Melhore sua segurança

Para melhorar a sua segurança, siga este procedimento:

  1. Se você não mudou para o Sophos Central com Intercept X e EDR, será necessário migrar.

    Essa é a nossa oferta de segurança de última geração e oferece a melhor proteção contra ameaças.

    • Ela contém o CryptoGuard, que protege contra ransomwares.
    • Entre em contato conosco se tiver dúvidas sobre por que isso é essencial ou como migrar. Você pode contratar nossa equipe do Rapid Response para ajudá-lo a migrar.

  2. Confirme se você está seguindo nossas práticas recomendadas para configurar a política de proteção contra ameaças. Isso é importante porque seu ambiente foi comprometido recentemente. Você precisa aumentar sua segurança para ajudar a evitar a reinfecção. Siga estes links para obter mais informações:

  3. Certifique-se de que todos os seus dispositivos tenham todos os patches mais recentes.

    Isso protege contra muitas explorações, já que a Microsoft corrige muitas vulnerabilidades em suas atualizações.

  4. Atualize todos os dispositivos que usam versões antigas de sistemas operacionais, como Windows Server 2003, Windows 2008 não R2, Windows 7 ou Windows XP.

    Os sistemas operacionais Windows que não são oficialmente suportados pela Microsoft têm vulnerabilidades de segurança que não têm patches.

  5. Verifique se você não tem dispositivos vulneráveis publicamente conectados à Internet.

    Nota

    É comum que a SMB 445, RDP 3389 ou outras portas estejam abertas. Agentes mal-intencionados podem explorar essas portas.

    Você deve verificar seus dispositivos. Você precisa descobrir quais portas abriu e reduzir os riscos. Para verificar seus dispositivos, siga este procedimento.

    1. Você pode usar o Shodan.io ou o Censys.io com seus IPs públicos para confirmar quais portas estão visíveis fora do seu ambiente.
    2. Se você tiver dispositivos conectados publicamente ou portas abertas desnecessárias, altere a política de firewall para reduzir a exposição.

Restaure seus dados e operações normais

Agora que limpou todos os seus dispositivos e os protegeu com o Sophos Central Intercept X Advanced with EDR, você está pronto para voltar ao trabalho.

Para isso, siga este procedimento:

  1. Restaure seus dados a partir de seus backups.

    Nota

    Se você quiser fazer uma análise da causa raiz, precisará de backups e imagens dos dispositivos infectados. Restaurar seus dispositivos destrói esses indícios e impossibilita a análise da causa raiz.

    1. Certifique-se de usar os backups de dados que você fez antes da infecção.
    2. Certifique-se de que você pode acessar os dados nos arquivos do backup.

  2. Coloque seus dispositivos novamente online.

    1. Se o sistema operacional estiver danificado ou se não houver backups suficientes dos dispositivos infectados, será necessário repará-los ou compilá-los novamente.
    2. Siga os processos de reparo e compilação fornecidos pelo fabricante do seu sistema operacional.

  3. Teste para confirmar que os dispositivos estão funcionando normalmente. Para isso, siga este procedimento:

    1. Verifique se podem acessar os recursos necessários.
    2. Verifique se os aplicativos estão sendo executados corretamente.
    3. Faça outros testes necessários para confirmar se os seus dispositivos estão funcionando corretamente.

  4. Dê permissão para os seus usuários acessarem os dispositivos.

Análise de causa raiz

Para proteger seu ambiente no futuro, você precisa saber como a infecção aconteceu. Isso permite que você identifique as falhas no projeto e na configuração da rede ou do ambiente e melhore sua operação no futuro. Uma análise da causa raiz também ajudará.

Para fazer uma análise da causa raiz, você precisa ter backups e imagens de seus dispositivos em seus estados infectados.

Vídeo de remediação de ransomware

Este vídeo aborda este fluxo de trabalho.