Como posso me proteger de ransomware?

[Blumer Celta]

Windows 10 vs ransomware?

Recentemente tive problemas com o dito cujo ransomware.

Depois em uma nova instalação do Windows7 (já sei não devo usar pois é antigo e vulnerável, mas uso pois preciso que o PC funcione e o 10 é muito pesado).

 

Nesta nova instalação coloquei o avast com modulo anti ransomware... percebi que ele bloqueia quando algum programa tenta fazer modificações em massa em algum diretório... ele também tem uma lista de softs permitidos e de pastas bloqueadas.

 

Mas... li em algum lugar que o Windows 10 é imune a ransomware. Isso é verdade? e se for, onde configura isso? ele trabalha bem com os ransomware?

pois se não colocar um AV somente para isso já libera um pouco do processamento do PC.

 

Obrigado.

[Lusitano]

Em 10/10/2021 às 00:22, Blumer Celta disse:

Mas... li em algum lugar que o Windows 10 é imune a ransomware. Isso é verdade? e se for, onde configura isso? ele trabalha bem com os ransomware?

Olá,

Todos os sistemas operativos foram já afetados por este tipo de malware, quer seja Windows, independentemente de ser a versão 7 ou 10, IOs (Apple) e até mesmo Linux.

 

Existem já versões de AV que trazem proteção contra esse tipo de malware, mas embora seja uma enorme ajuda na prevenção, isso não é suficiente

[Rio McCloud]

@Blumer Celta Boa tarde! Nenhum sistema operacional é imune a ransomware. O que acontece é que o Microsoft Defender (solução de segurança inclusa no próprio Windows 10) possui o recurso Pastas Controladas, que é, resumidamente, a mesma coisa que o Módulo Anti-Ransomware do Avast: as pastas que você configurar serão monitoradas pelo antivírus e qualquer alteração em um arquivo delas feita por um programa desconhecido será bloqueada.

 

Entretanto, eu não recomendo o Avast por ser pesado e ineficiente (veja quantos computadores infectados por malware estão executando ele por aí). As versões mais recentes do Windows possuem recursos de segurança que permitem que as soluções antivírus consigam trabalhar de forma mais eficiente. Há soluções gratuitas muito melhores e mais leves como o Kaspersky Security Cloud Free, Bitdefender Antivirus Free Edition, Panda Dome Free e até mesmo o Microsoft Defender (do Windows 10 e 11), se você souber configurá-lo corretamente.

 

Fuja do Windows 7 pois ele não recebe mais correções de segurança e logo os aplicativos que você usa deixarão de dar suporte. Se sua máquina não aguenta o Windows 10 ou 11, tente o Windows 8.1 (que receberá atualizações até outubro de 2023) ou alguma distribuição Linux fácil de usar como Linux Mint e Zorin OS.

 

Como disse o amigo @Lusitano, um antivírus não é suficiente. Se não quiser ter mais dores de cabeça com ransomware, além de utilizar uma solução antivírus com um bom módulo comportamental e proteção na nuvem (além dos que citei anteriormente existem também o ESET e Trend Micro, que são excelentes soluções pagas) você também deve executar um sistema operacional atualizado e manter vários backups dos seus arquivos em dia.

[Blumer Celta]

Em 17/10/2021 às 15:28, Rio McCloud disse:

Microsoft Defender (solução de segurança inclusa no próprio Windows 10) possui o recurso Pastas Controladas

Ótimo, era isso que eu queria saber, vou pesquisar sobre esta função.

 

Em 17/10/2021 às 15:28, Rio McCloud disse:

Entretanto, eu não recomendo o Avast por ser pesado e ineficiente (veja quantos computadores infectados por malware estão executando ele por aí).

Nem para a função de ransomware ele presta?, pois é só pra isso que estou usando ele.

[Lusitano]

10 minutos atrás, Blumer Celta disse:

Ótimo, era isso que eu queria saber, vou pesquisar sobre esta função.

 

Nem para a função de ransomware ele presta?, pois é só pra isso que estou usando ele.

A sua melhor solução quanto a ransomware é backups. E seguindo a regra 3-2-1.

Atenção: o acima referido quanto aos backups NÃO invalida que não deva utilizar um AV com função anti-ransomware.

 

 

[Blumer Celta]

9 minutos atrás, Lusitano disse:

A sua melhor solução quanto a ransomware é backups. E seguindo a regra 3-2-1.

Atenção: o acima referido quanto aos backups NÃO invalida que não deva utilizar um AV com função anti-ransomware.

 

 

Obrigado.

[Rio McCloud]

46 minutos atrás, Blumer Celta disse:

Nem para a função de ransomware ele presta?, pois é só pra isso que estou usando ele.

 

Todo antivírus moderno tem isso. Avast/AVG, Microsoft Defender, Bitdefender, Trend Micro, Panda Dome. Todos eles possuem.

 

Algumas soluções de segurança usam uma tática diferente, como é o caso do Kaspersky. O módulo "Inspetor do Sistema" (que é a proteção comportamental dele) é capaz de desfazer alterações em arquivos ao detectar uma ameaça desconhecida (como um ransomware).

 

Infelizmente o Avast/AVG é pesado e ineficiente. Recomendo fortemente que use no mínimo o Microsoft Defender (devidamente configurado com o ConfigureDefender) ou use alguma solução de terceiros como Kaspersky, Bitdefender, ESET, Trend Micro ou Panda Dome.

 

E como disse o amigo @Lusitano, a melhor solução contra ransomwares é backup. Nenhuma solução de segurança é infalível, então você precisa ter redundâncias. Mantenha vários backups de seus arquivos em dia junto com uma solução de segurança com bom módulo comportamental e você não terá mais dor de cabeça com esse tipo de malware.

[Blumer Celta]

Obrigado.

[mick 07]

Dica adicional:

 

 

[Blumer Celta]

boa dica obrigado

[Lusitano]

Olá,
Video bem interessante (obrigado pela partilha @mick 07) e embora seja sobre uma variante do ransomware wannacry (assim de repente me lembro de pelo menos mias 6 variantes desse ransomware.), não deixa de ser uma matéria bem interessante e elucidativa de como os ransomwares atuam. No caso dessa extensão (.wannacry) adicionada aos arquivos, se também bem me lembro, outro ransomware (o amnesia) acrescentava também essa extensão.

Os especialista tiveram algum sucesso em encontrar e explorar falhas em ransomware, às vezes por meio de engenharia reversa, mas no caso de ransomware nos casos mais recentes não é infelizmente garantia de de sucesso, principalmente se não houver uma falha conhecida.
Tem havido no entanto bastante sucesso e por isso existem já ferramentas eficazes em algumas variantes, porque as autoridades policiais conseguiram prender os (ciber)criminosos responsáveis por esses malwares e apreendendo os seus servidores, conseguiram acesso ao banco de dados PRINCIPALMENTE ao acesso das chaves privadas (criptografadas, RSA, AES, Salsa20, ChaCha20, etc.) e com isso foi possível serem criadas ferramentas que revertem a encriptação dos arquivos.

O problema com os ransomwares tem sido tão grave, tendo inclusivé sido abordado e trabalhado no senado americano e recentemente tem havido um maior esforço de coperação entre diversas entidades internacionais (FBI, Europol, Cisco, várias das principais empresas de software Antivírus, etc.), ajudar as vítimas de ransomware a recuperar seus dados sem ter que pagar os criminosos.

Esta coperação tem sido produtiva a rastrear, prender, etc. no fundo para obter acesso aos servidores do desenvolvedor de ransomware e com isso permitir recuperar algumas das chaves para descriptografar os computadores, lembrando que na maioria dos casos mais recentes, cada usuário requer uma chave única!!! e por aqui já se percebe a complexidade deste tipo de malware, nem entrando no assunto das técnicas criptograficas utilizadas que é um tema mais complexo, mas tentando simplificar basta dizer que é impossível conseguir essas chaves por meio de brute force (força bruta). Em alguns casos, conseguiram obter chaves mestras e isso (no passado) permitiu desenvolver ferramentas de descriptografia, mas tal como explicado atrás, os ransomware mais recentes, têm chaves online e únicas para cada PC afetado, o que se não houver alguma falha de código no próprio malware, tornam impossivel reverter os seus efeitos, a menos que se tenha a chave.
 
Importante no entanto ressalvar que, embora no momento pareça uma impossibilidade de descriptografar os seus dados (caso tenha sido afetado), há sempre esperança de no futuro haver uma solução, por exemplo, os criminosos serem capturados

Por isso eu digo: backup, backup e mais backup!
Essa é a sua garantia. Não é nada complicado "limpar" um computador de ransomware, ou contrário que antigamente andávamos batalhando com malwares do tipo rootkits e backdoors que alguns eram complicados e chatos, regra geral os ransomwares são até bem simples de remover. O PROBLEMA está em recuperar os arquivos que foram criptografados e isso tal como explicado acima é na maioria dos casos IMPOSSIVEL.

Tirem algum tempo para pesquisarem um pouco mais sobre este tema, existe muito boa informação sobre esta praga que tem ganho uma grande dimensão mundial, mas não esqueçam de ler boas fontes (blogs de empresas de segurança da informação, microsoft, etc.).

Não esqueçam: backup; backup e mais backup

Espero ter ajudado. Abraço

 

3 horas atrás, mick 07 disse:

Dica adicional:

 

 

 

[LUSOM]

@Rio McCloud

Citação

 Recomendo fortemente que use no mínimo o Microsoft Defender (devidamente configurado com o ConfigureDefender)

 

Olá! Será que faz muita diferença fazer essas mudanças no Microsoft Defender ou somente a configuração padrão da conta do recado? 

 

Vi lá  no  https://github.com/AndyFul/ConfigureDefender:

 

Citação

...O usuário pode aplicar um dos três níveis de proteção predefinidos: DEFAULT, HIGH e MAX. A alteração de um dos níveis de proteção requer uma reinicialização para ter efeito.

O defender trabalha no DEFAULT né? Vi que o MAX gera muito falso positivo. Será que vale a pena?

[Rio McCloud]

@LUSOM O ideal é usar a configuração HIGH, não MAX. A "MAX" é muito restritiva. Sempre configuro o Defender assim, pois nesse nível de configuração ele bloqueará PUP/PUAs e usará melhor os recursos de proteção comportamental e na nuvem.

[LUSOM]

@Rio McCloud E como o configura? Pelo executável? https://github.com/AndyFul/ConfigureDefender/blob/master/ConfigureDefender.exe

 

 

[Rio McCloud]

@LUSOM Sim. Você abre ele como Administrador, clica em "High", clica em "Refresh" e reinicia o Windows.

[LUSOM]

@Rio McCloud Vou testar aqui. Obrigado