Pular para o conteúdo

Permalink da página

Sempre use o permalink a seguir ao fazer referência a esta página. Ele permanecerá inalterado nas versões de ajuda futuras.

https://docs.sophos.com/central/mdr/help/pt-br/index.html?contextId=TrickBot

Fluxo de remediação de TrickBot ou Emotet.

Siga estas etapas para remediar uma infecção por TrickBot ou Emotet.

Introdução

O pacote de malware TrickBot ou Emotet é um dos mais disseminados e eficazes do mundo no momento. Ele aproveita várias técnicas e vetores de infecção para se espalhar por um ambiente e ganhar persistência em dispositivos comprometidos.

Para ter uma proteção eficaz, recomendamos o Intercept X Advanced with EDR.

Se houver um incidente ativo de TrickBot ou Emotet, recomendamos entrar em contato conosco e adquirir nosso serviço Managed Detection and Response. Nossa equipe altamente treinada pode ajudar na correção e fornecer uma análise da causa raiz.

Verifique seus dispositivos

Certifique-se de que seus dispositivos estejam atualizados e protegidos. Para verificar seus dispositivos, siga este procedimento.

  1. Certifique-se de que todos os dispositivos da rede tenham uma versão atualizada e funcional do Sophos Endpoint Protection.

    Não recomendamos que você tente corrigir uma infecção por TrickBot ou Emotet com o Sophos Anti-Virus (no local). O Sophos Anti-Virus não tem determinados recursos e ferramentas eficazes para protegê-lo contra TrickBot ou Emotet e ajudar na correção.

  2. Atualize ou remova os dispositivos que usam sistemas operacionais antigos nos quais você não pode instalar o Sophos Endpoint ou obter as atualizações apropriadas do Windows.

    1. Certifique-se de que seus dispositivos tenham todos os patches de segurança apropriados do Windows. Um único sistema desprotegido ou sem patches pode infectar outros dispositivos protegidos e com patches.

  3. Desligue todos os dispositivos que executam outras versões do Windows 2008 diferentes do Windows 2008 R2, Windows 2003 XP ou versões anteriores durante a correção. Remova esses dispositivos da sua rede para evitar o risco de gerar um novo surto.

    Esta lista de sistemas operacionais será alterada à medida que as versões do Windows se tornem incompatíveis. Para obter mais informações sobre nossos requisitos de sistema atuais, consulte Requisitos do Sophos Central Endpoint para Windows ou Requisitos do sistema do Sophos Central Server para Windows.

Defina o escopo do problema

Não presuma que todos os dispositivos da rede estão protegidos e que você conhece todos os dispositivos da rede. Há muitas maneiras de identificar dispositivos na sua rede, e você talvez já tenha seus métodos de fazer isso. A opção que funciona melhor para você depende do tamanho da sua rede e da segmentação.

Um dos métodos mais comuns é fazer uma varredura de rede e detectar o que está na rede naquele momento.

Você pode usar ferramentas de terceiros para fazer isso, como o Advanced IP Scanner.

Se você não quiser usar uma ferramenta de terceiros, poderá usar o Source of Infection. Essa é uma ferramenta da Sophos gratuita. Observe que esse não é um produto antivírus e não detectará nem removerá malwares. Deixe-o em execução em um dispositivo e ele criará um log de todos os arquivos gravados no dispositivo. Ele gera um arquivo de log contendo uma lista de todos os arquivos gravados. Para cada arquivo, o arquivo de log contém o caminho completo do arquivo, a data e a hora em que foi gravado e se um processo local ou de rede o gravou. Para processos locais, ele lista o nome e o caminho do arquivo que o gravou. Para um processo de rede, ele lista o endereço IP remoto ou o nome do dispositivo. Em seguida, você pode usar o arquivo de log para identificar os dispositivos que contêm possíveis malwares não detectados. Por exemplo, você pode usá-lo para investigar um dispositivo protegido que está recebendo detecções repetidamente, mesmo após várias tentativas de correção. Detecções repetidas indicam que outro dispositivo na rede está infectado e está tentando reinfectar seu dispositivo protegido. A origem da infecção pode ajudá-lo a encontrar o dispositivo infectado.

Você pode encontrar mais informações sobre a origem da infecção nos seguintes artigos da base de conhecimentos:

Para fazer a varredura da sua rede, escolha uma das seguintes opções:

  • Use o Advanced IP Scanner. Consulte Advanced IP Scanner.

    Essa é uma ferramenta gratuita e intuitiva.

    Captura de tela da ferramenta Advanced IP Scanner.

    Ela gera uma lista de dispositivos ativos na sua rede que você pode verificar comparativamente com os dispositivos listados no software de gerenciamento Sophos.

  • Para usar o Source of Infection, faça o seguinte:

    1. Baixe o Source of Infection: SourceOfInfection.zip.
    2. Mova-o para o dispositivo que deseja investigar.
    3. Extraia SourceOfInfection.exe para a raiz da unidade C.
    4. Abra o Prompt de comando como administrador.
    5. Localize e execute SourceOfInfection.exe.
    6. Pressione Enter para executar o comando.

    7. Deixe o Source of Infection em execução. Você deve deixar a janela do prompt de comando aberta para fazer isso.

      Nota

      Você pode ter vários dispositivos infectados tentando infectar outros dispositivos em sua rede. Quanto mais tempo você deixar o Source of Infection em execução, maior a probabilidade de capturar essas informações no log.

    8. Quando ocorrer uma nova detecção de malware no dispositivo, interrompa o Source of Infection fechando a janela do prompt de comando.

      Uma nova detecção de malware pode ocorrer em segundos ou dias, dependendo da sua situação.

    9. Revise o arquivo de log para descobrir a origem da infecção. Você encontra os arquivos de log em %temp%\Source of Infection Log.csv.

      O arquivo de log é um arquivo CSV, que pode ser aberto no Microsoft Excel ou em qualquer editor de texto.

      O exemplo a seguir mostra dois arquivos suspeitos gravados no dispositivo a partir de um local de rede remoto. Esses dois endereços IP são, provavelmente, dispositivos infectados.

      Exemplo do arquivo de log de Source of Infection mostrando dois hosts infectados.

    10. Repita esse processo para todos os dispositivos que deseja investigar.

    11. Encontre, isole e proteja os dispositivos infectados para evitar que arquivos mal-intencionados se disseminem.

Verifique sua proteção

A Sophos tem configurações recomendadas para proteção contra ameaças. Elas usam várias camadas de proteção. Essas configurações oferecem proteção contra infecções e ajudam em sua eliminação. Para verificar sua proteção, siga este procedimento:

  1. Verifique se você está usando nossas configurações recomendadas em suas políticas de proteção contra ameaças.

    Você pode encontrar mais informações sobre essas configurações nos seguintes links:

  2. Se você não estiver usando nossas configurações recomendadas, ative essas configurações nas suas políticas de proteção contra ameaças.

  3. Se você não quiser usar todas as nossas configurações recomendadas, ative a opção que envia dados de arquivos suspeitos e eventos de rede ao Sophos Central para computadores e servidores. Isso é necessário mais tarde, no processo de correção. Para isso, siga este procedimento:

    1. Faça login no Sophos Central Admin.
    2. Clique em Endpoint Protection > Políticas e ative Permitir que os computadores enviem dados sobre arquivos suspeitos e eventos da rede ao Sophos Central.
    3. Clique em Server Protection > Políticas e ative Permitir que os servidores enviem dados sobre arquivos suspeitos e eventos da rede ao Sophos Central.

Aplique patches a seus dispositivos

Verifique se todos os seus dispositivos têm os patches de segurança mais recentes do Windows. Certifique-se de incluir o patch do exploit EternalBlue. TrickBot ou Emotet usa esse exploit como um de seus métodos de disseminação.

EternalBlue é um exploit que aproveita uma vulnerabilidade no Microsoft SMB, que foi usada principalmente pelo ransomware WannaCry para se disseminar. A aplicação de patches a dispositivos e a remoção desse vetor de infecção dificulta o trabalho do TrickBot ou Emotet e protege você contra outros malwares que usam o EternalBlue.

A Microsoft lançou o patch para EternalBlue na atualização da Microsoft: MS17-010. O artigo oficial da Microsoft explica como verificar se um dispositivo tem o patch. Consulte Como verificar se a MS17-010 está instalada.

A Sophos tem um script simples do PowerShell que pode ser executado em computadores individualmente para confirmar se eles têm o patch. Para obter mais informações sobre isso, consulte Como verificar se uma Máquina está vulnerável a SternalBlue - MS17-010.

Para aplicar patches aos seus dispositivos, siga este procedimento:

  1. Verifique se os seus dispositivos estão vulneráveis ao EternalBlue.
  2. Atualize seus dispositivos com os patches de segurança mais recentes do Windows.

Faça a varredura e limpe seus dispositivos

Faça a varredura de seus dispositivos para saber quantos estão infectados pelo TrickBot ou Emotet. Em seguida, você precisa limpar seus dispositivos para evitar reinfecções.

Para isso, siga este procedimento:

  1. Certifique-se de que todos os dispositivos tenham os patches e o Intercept X Advanced instalados.

  2. Execute uma varredura completa de todos os seus dispositivos. Para fazer a varredura de um arquivo, siga este procedimento:

    1. Faça login no Sophos Central Admin.
    2. Clique em Endpoint Protection > Políticas ou Server Protection > Políticas.
    3. Em Proteção contra ameaças, clique na política atribuída aos usuários, computadores ou servidores que você deseja verificar.
    4. Clique em Configurações e role até Varredura agendada.
    5. Ative Habilitar varredura agendada.

    6. Defina um horário para executar a varredura.

      A varredura exige que os dispositivos estejam ligados e ativos.

    7. Desative Habilitar varredura aprofundada - faz a varredura dentro do arquivamento (.zip, .cab, etc.) e Fazer varredura de todos os arquivos.

      Você precisa fazer uma varredura completa para indexar todos os arquivos. Essas configurações adicionais retardam a indexação ou podem impedir que a varredura seja concluída em alguns dispositivos.

  3. Após a varredura completa, você precisa eliminar a infecção pelo Sophos Central Admin. Para isso, siga este procedimento:

    1. Faça login no Sophos Central Admin e clique em Centro de análise de ameaças > Pesquisas de ameaças.

    2. Pesquise os locais comuns de descarte de malware.

      • C:\
      • C:\Windows
      • C:\Windows\System32
      • C:\Windows\Syswow64
      • C:\ProgramData
      • C:\Users\*<Username\>*\AppData\Roaming\*<random name\>*.

    3. Vá para um dos locais de descarte de malware e clique em Conexões de rede.

      Isso limita a lista somente a arquivos executáveis que executam conexões de rede. O TrickBot ou o Emotet tenta se disseminar e precisa executar conexões de rede.

    4. Procure arquivos executáveis que se sobressaiam para você ou sobre os quais você não esteja certo.

    5. Para cada um desses arquivos, clique em Gerar um novo caso de ameaça e Solicitar o mais recente Intelligence no caso de ameaça para obter mais informações.
    6. Verifique os dados e clique em Eliminar e bloquear, se necessário.

    Se precisar de mais informações sobre um arquivo, envie uma amostra; consulte Como enviar exemplos de arquivos suspeitos para a Sophos.

  4. Verifique Casos de ameaça e Alertas para ver detecções novas e recentes. Procure indícios de detecções de TrickBot ou Emotet.

    • CXmal/Emotet-C
    • HPmal/Emotet-D
    • HPmal/TrikBot-G
    • Mal/EncPk-AN
    • HPmal/Crushr-AU
    • Troj/Inject-DTW
    • Troj/LnkRun-T
    • AMSI/Exec-P
    • Troj/Emotet-CJW

  5. Verifique as seguintes detecções:

    • Mal/Generic-R
    • Mal/Generic-S
    • ML/PE-A
    • Code Cave
    • APC Violation
    • Safe Browsing
    • LoadLib

  6. Repita esse processo para cada arquivo em Pesquisas de ameaças.

  7. Limpe todos os arquivos infectados.
  8. Reinicie todos os seus dispositivos para eliminar todas as infecções na memória.
  9. Repita essas etapas até que não haja mais nenhum indício de TrickBot ou Emotet.

Remediação final

Se você ainda estiver recebendo detecções, ainda há uma infecção em um dispositivo na sua rede.

Infecções por TrickBot ou Emotet persistem nos formatos com arquivo e sem arquivo. Para remediá-los, você precisa reduzir a capacidade deles de se replicarem nos dois formatos. Para obter mais informações sobre como esse malware funciona, consulte Resolver surtos de malware Emotet e TrickBot.

Para localizar os dispositivos restantes infectados, faça o seguinte:

  1. Repita as etapas neste fluxo de trabalho.

  2. Se você não conseguir encontrar a origem da detecção, clique em Centro de Análise de Ameaças > Pesquisas de ameaças e verifique esses locais onde o TrickBot ou Emotet foi encontrado.

    • C:\Windows\<A Randomly Named EXE>
    • C:\windows\system32\<A Randomly Named EXE>
    • C:\Windows\Syswow64\<A Randomly Named EXE>
    • C:\stsvc.exe
    • C:\Users\<username>\AppData\Roaming\*<A Randomly Named EXE\>*
    • C:\Users\<username>\AppData\Roaming\<Six-Letter-Folder>
    • C:\ProgramData\<Randomly Named EXEs>

  3. Quando você encontrar o arquivo executável que está burlando a detecção, envie uma amostra.

  4. Se você não conseguir encontrar o arquivo executável, entre em contato com o Sophos MDR Rapid Response.

Vídeo de remediação de TrickBot ou Emotet

Este vídeo aborda este fluxo de trabalho.