Como proteger seu PC contra ransomware de criptografia de arquivos
Proteção ideal para Windows
Ransomware é um tipo de malware que criptografa seus arquivos e exige resgate para descriptografá-los. Alguns dos programas criptografam os arquivos sem exigir resgate.
Recomendações sobre a redução dos riscos de infecção por ransomwares
Instale uma solução de proteção
Os aplicativos da Kaspersky com os bancos de dados mais recentes bloquearão ataques e evitarão que malwares sejam instalados em seu computador. As versões mais recentes dos produtos da Kaspersky apresentam o componente Inspetor do Sistema, que automaticamente cria cópias de backup dos arquivos se um programa suspeito tentar acessá-los.
Instale as atualizações
Mantenha seu software, sistemas operacionais e aplicativos da Kaspersky atualizados, especialmente verifique os patches que corrigem vulnerabilidades regularmente. O software atualizado opera com o patch mais recente, o que restringe as oportunidades para invasores.
As atualizações são o principal meio para melhorar a segurança, a estabilidade e o desempenho dos sistemas pois elas removem vulnerabilidades e impedem que invasores as utilizem.
É extremamente importante atualizar os componentes de software a seguir:
- Patches de sistema operacional
- Plug-ins do navegador, como Flash, Silverlight etc.
- Aplicativos de VPN que fornecem acesso a funcionários remotos e servem como um gateway para a sua rede
Ative todos os componentes de proteção dos aplicativos da Kaspersky
Todos os componentes dos aplicativos da Kaspersky têm como objetivo a proteção máxima possível dos dispositivos e a redução dos riscos de infecção por ransomwares. Verifique se os seguintes componentes estão ativados:
- Proteção Contra Ameaças ao Arquivo
- Proteção Contra Ameaças da Web
- Proteção Contra Ameaças ao Correio
- Detecção de Comportamento
- Prevenção de Exploit
- Proteção AMSI
- Mecanismo de neutralização
- Prevenção de Intrusão do Host
- Kaspersky Security Network
Faça backup regularmente de seus arquivos na nuvem ou unidade externa
Recomendamos executar o backup e a restauração regularmente. Mesmo no caso de um ataque de ransomware ou criptografia de arquivos bem-sucedido, os dados de backup podem ser recuperados, o que reduzirá os efeitos nocivos do ataque. Para proteger seus arquivos, crie cópias de backup e armazene-as em um armazenamento na nuvem ou em uma unidade removível.
Não abra anexos em e-mails de remetentes desconhecidos
O ransomware geralmente se espalha por meio de anexos de e-mail infectados. Os cibercriminosos visam persuadir você a abrir o anexo, e é por isso que os títulos dos e-mails simulam informações importantes, como uma ordem judicial, notificação de ação penal, notificação de multa ou algo semelhante. Sempre verifique o endereço do remetente antes de abrir e-mails ou anexos.
Use senhas fortes para contas do Windows para conexão remota
Senhas fracas podem ser facilmente adivinhadas ou quebradas, o que pode resultar na aquisição do acesso a dados confidenciais por invasores. Para proteger seus dados pessoais e suas contas contra serem hackeados durante a conexão remota, use senhas fortes. Para obter instruções, consulte este artigo.
Se você estiver usando uma rede pública, invasores podem usar os recursos da Área de Trabalho Remota para obter acesso aos seus dispositivos. Conecte-se à Área de Trabalho Remota apenas na sua rede doméstica ou corporativa. Para obter mais informações sobre o recurso de Área de Trabalho Remota, consulte o site de suporte da Microsoft.
Proteja pastas compartilhadas
Os invasores podem usar pastas compartilhadas para criptografia de arquivos, disseminação de malwares e movimentação pela rede da sua organização. O Kaspersky Endpoint Security for Windows protege as pastas compartilhadas contra criptografia e pode ajudar a definir senhas fortes.
Use o Kaspersky Endpoint Detection and Response (KEDR) ou o Kaspersky Managed Detection and Response (MDR)
O KEDR e o MDR detectarão e impedirão um ataque antecipadamente. Usando essas soluções, é possível identificar e monitorar sinais suspeitos.
Proteja contas de administrador
Certifique-se de que as contas de administrador estejam protegidas por senhas fortes, modificadas regularmente (por exemplo, a cada 3 meses). Use a verificação em duas etapas, se possível, para minimizar os riscos de invasores obterem o controle sobre a rede caso tenham conseguido acessar as credenciais do usuário.
Monitore atividades suspeitas
Verifique regularmente os logs de eventos e os dados operacionais quanto a atividades suspeitas. Monitore o movimento lateral em torno de uma rede e preste atenção ao tráfego de saída, pois um invasor geralmente precisa de conexão a redes externas ou ferramentas externas para roubo de dados.
Tenha cuidado ao usar o PowerShell
A solução PowerShell é frequentemente usada para ataques a dispositivos Windows. Ransomwares e ameaças sem arquivo também usam o PowerShell para ataques.
Limite a execução de scripts do PowerShell. Desative a execução dos scripts do PowerShell não atribuídos usando a política. Ative a execução dos scripts do PowerShell somente para as contas que precisam. Não altere a política de restrições do PowerShell (Set-ExecutionPolicy). Nos dispositivos protegidos pelo Kaspersky Endpoint Security for Windows, ative o componente de Controle Adaptativo de Anomalias e mude a regra Atividade do Mecanismo de Script e de Estruturas para o modo de bloqueio.
Configure políticas
Configure as políticas para minimizar a quantidade de informações sobre a rede disponíveis para os usuários cujas contas podem ser comprometidas. As informações da rede devem ser limitadas, pois podem ser recuperadas por invasores de um dispositivo violado. Mesmo que um invasor consiga comprometer uma conta ou uma máquina, a etapa descrita acima restringirá ainda mais as oportunidades do invasor e evitará a escalação de privilégios de um administrador ou de outros dispositivos, o que resultará na diminuição da escala do ataque.
Use o IDS e o IPS para detectar e evitar verificações de rede
O primeiro passo de um ataque direcionado é coletar informações. A verificação de rede fornece a invasores informações essenciais, como portas abertas, sistemas operacionais e software ativos e o status do dispositivo de rede. Impedir verificações de rede não permitirá que invasores coletem as informações importantes e tornará os ataques mais difíceis de implementar.
Treine seus funcionários e promova conscientização
- Tenha cuidado com anexos de e-mail e verifique endereços de e-mail não confiáveis. Certifique-se de que o componente de Proteção contra ameaças ao correio esteja ativado no Kaspersky Endpoint Security for Windows. O componente verifica e protege computadores de anexos mal-intencionados.
- Desconfie de links estranhos enviados em e-mails ou de outras plataformas de mensagens. Mesmo se um link for enviado por alguém que você conhece, ele pode ter sido hackeado.
- Saiba como reconhecer links e arquivos mal-intencionados, detecte sinais de atividade suspeita em seus dispositivos e contas, use senhas fortes e verificação em duas etapas, atualize regularmente o sistema operacional e o software pessoais, faça logout de seus sistemas sempre que eles não precisarem mais de acesso.
A Kaspersky oferece um curso especializado em cibersegurança: Automated Security Awareness Platform. Essa plataforma fornece conhecimento e desenvolve habilidades e práticas de higiene cibernética.
Recomendações sobre a definição das configurações do sistema
Crie pontos de restauração do sistema e faça backup de seus arquivos
Crie regularmente pontos de restauração do sistema e faça backup de arquivos importantes em uma unidade removível. Isso permitirá restaurar o sistema operacional para o estado não infectado e recuperar rapidamente os arquivos em caso de infecção ou mau funcionamento do sistema.
Para obter mais informações sobre os recursos de backup e restauração, consulte o site de suporte da Microsoft.
Negue conexões remotas com o seu computador
Para evitar que invasores se conectem remotamente ao seu computador, desative esse tipo de conexão nas configurações do computador:
- Abra a Pesquisa e digite "painel de controle". Selecione Painel de controle.
- Clique em Sistema e segurança e selecione Sistema.
- Selecione Proteção do sistema.
- Acesse a guia Remoto. Desmarque a caixa de seleção Permitir conexões de Assistência Remota com este computador e marque a caixa de seleção Não permitir conexões remotas com este computador. Clique em OK.
O acesso remoto ao seu computador será negado.
Recomendações sobre a configuração de aplicativos da Kaspersky
- Defina uma senha para acessar as configurações do aplicativo Kaspersky. Para obter mais instruções, consulte a Ajuda On-line:
- Ative o recurso Inspetor do Sistema no aplicativo da Kaspersky.
Este recurso bloqueia e reverte ações maliciosas, detecta e remove banners e cria cópias de backup de arquivos em tentativas de acesso suspeitas. Para obter instruções de configuração, consulte a Ajuda On-line:
Recomendações sobre a descriptografia de arquivos
Tente restaurar os arquivos
É possível restaurar arquivos usando ferramentas padrão do Windows. Consulte as instruções no site de suporte da Microsoft.
Desative a exclusão automática de arquivos maliciosos detectados
Se você tiver um aplicativo Kaspersky instalado, abra as configurações do aplicativo e desmarque a caixa de seleção Executar ações recomendadas automaticamente na seção Geral.
Não recomendamos remover os arquivos infectados da Quarentena, pois eles podem conter chaves para descriptografia.
Envie os arquivos suspeitos para análise
Entre em contato com o Atendimento ao cliente da Kaspersky. Anexe um arquivo criptografado ou uma mensagem de e-mail à sua solicitação.
Se você estiver usando o Kaspersky Endpoint Security for Windows, envie uma solicitação ao Suporte Técnico da Kaspersky por meio do Kaspersky CompanyAccount.
Os engenheiros da Kaspersky não podem garantir que os arquivos corrompidos sejam descriptografados.
Execute uma verificação e remova o malware do seu computador
Execute uma verificação completa do computador para encontrar a causa da infecção e eliminá-la. Se nenhuma solução de proteção estiver instalada, use uma ferramenta gratuita da Kaspersky: Kaspersky Security Cloud Free, Kaspersky Rescue Disk ou Kaspersky Virus Removal Tool (em inglês).
O que fazer se encontrar um arquivo suspeito no computador
Se encontrar um arquivo suspeito que pode ter infectado o computador ou criptografado os arquivos, será possível:
- Verificar arquivos em busca de ameaças conhecidas no OpenTIP. Se necessário, informe os especialistas da Kaspersky sobre uma detecção falsa ou um novo software malicioso. Para fazer isso:
- Clique em Enviar para reanalisar na página de resultados da verificação.
- Insira seu endereço de e-mail para que possamos entrar em contato, se necessário
- Clique em Enviar.
- Entre em contato com o Atendimento ao cliente da Kaspersky. Anexe o arquivo suspeito à sua solicitação e escreva na seção de descrição "possível ransomware (cryptoransomware)".
Se estiver usando o Kaspersky Endpoint Security for Windows, envie uma solicitação ao Suporte Técnico da Kaspersky por meio do Kaspersky CompanyAccount. - Envie os arquivos para análise para newvirus@kaspersky.com. Para fazer isso, adicione o arquivo suspeito a um arquivo ZIP ou RAR. Defina a palavra "infectado" como uma senha para o arquivo e marque a caixa de seleção Criptografar nomes de arquivo. Para instruções, acesse este artigo (in inglese).
Possíveis localizações de arquivos de ransomware
- APPDATA
Windows NT/2000/XP — Drive:\Documents and Settings\%UserName%\Application Data\%USERPROFILE%\Local Settings\Application Data
Windows Vista/7/8/10 — Drive:\Users\%UserName%\AppData\Roaming\%USERPROFILE%\AppData\Local
- TEMP (catálogo temporário)
%TEMP%\xxxxxxx.tmp\, onde x representa os caracteres a-z ou os números 0-9
%TEMP%\xxxxxxx.tmp\xx\, onde x representa os caracteres a-z ou os números 0-9
%TEMP%\xxxxxxx\, onde x representa os caracteres a-z ou os números 0-9
%WINDIR%\Temp
- Pasta de arquivos temporários do Internet Explorer
Windows NT/2000/XP — %USERPROFILE%\Local Settings\Temporary Internet Files\
Windows Vista/7/8/10 — %LOCALAPPDATA%\Microsoft\Windows\Temporary Internet Files\content.ie5\xxxxxxxx, onde x representa os caracteres a-z ou os números 0-9
- Área de trabalho
%UserProfile%\Desktop\
- Lixeira
Disk:\Recycler\
Disk:\$Recycle.Bin\
Disk:\$Recycle.Bin\s-1-5-21-??????????-??????????-??????????-1000 (onde ? representa os números 0-9)
- Diretório do sistema
%WinDir%
%SystemRoot%\system32\
- Pasta de documentos do usuário
%USERPROFILE%\My Documents\
%USERPROFILE%\My Documents\Downloads
- Pasta de downloads do navegador
%USERPROFILE%\Downloads
- Pasta de inicialização
%USERPROFILE%\Start Menu\Programs\Startup