cryptowall

Cryptowall: como se proteger deste vírus ransomware

Uma das maiores preocupações de qualquer empresa são os cuidados com a segurança da informação. Essa preocupação se dá pelos vírus que podem prejudicar os dados de uma empresa que são estratégicos para o funcionamento da organização como um todo. Um desses vírus é o cryptowall.

Em uma era na qual quem sabe manipular e analisar as informações sai à frente dos concorrentes, qualquer tipo de problema no que concerne à questão de segurança de dados pode gerar prejuízos significativos à organização.

Uma das ameaças mais perigosas atualmente diz respeito aos ataques de sequestros de dados. E um dos malwares mais comuns que atuam desta forma é o cryptowall.

Neste artigo vamos falar mais sobre esse vírus que causa uma série de problemas para as organizações; problemas esses que vão além dos prejuízos financeiros causados diretamente pelos ataques.

Você, gestor de TI, também saberá como ele opera, bem como entenderá como são os vírus ransomware, uma das principais ameaças para a segurança de dados atualmente.

Também entenderá o que diferencia o cryptowall dos demais malwares desta natureza e, principalmente, como se proteger de infecções desta natureza.

Por fim, saberá como agir nos casos em que o ataque ocorreu, de forma a minimizar os prejuízos posteriores.

O que é o cryptowall?

O cryptowall é um vírus com base de ação em criptografia, se enquadrando como um ransomware. Foi criado em 2014, voltado essencialmente para o sistema operacional Windows.

Estão incluídas, também, suas versões mais antigas. Assim, ele atinge o Windows XP, Windows Vista, Windows 7, Windows 8 e Windows 10.

O objetivo do cryptowall é inutilizar os arquivos disponíveis na máquina, por meio de criptografia, de forma que apenas os hackers responsáveis possam ter acesso às informações.

São apenas eles, os hackers, que possuem o domínio de utilizar as chaves para descriptografar os dados após o pagamento do resgate.

Como ele opera?

Por meio de uma vulnerabilidade, o vírus cryptowall atinge o sistema. Essa falha pode ser explorada por meio de arquivos de phishing que tenham executáveis disfarçados no formato PDF ou ZIP.

Para gestores e profissionais de TI, isso pode ser de fácil identificação, mas lembre-se: os demais colaboradores da empresa não terão a mesma facilidade. Afinal, são pessoas leigas, sem conhecimento de segurança.

E, por meio de ações imprudentes, como abertura de SPAM ou acesso a links maliciosos, podem contaminar as máquinas da empresa com o cryptowall e, em muitos casos, toda a rede do local.

As principais formas de contaminação de cryptowall por fraude são:

  • aviso de faturas;
  • pedidos de compra;
  • reclamações de clientes;
  • cliques em anúncios fraudulentos;
  • demais comunicações de negócios.

Normalmente os arquivos maliciosos de cryptowall são instalados nos % ou %temp% ou então em pastas % AppData.

O cryptowall opera da seguinte forma: a partir do momento em que a infecção é realizada, o malware irá analisar todas as informações disponíveis no disco rígido e realizará a criptografia das informações, por meio da criptografia RSA.

Deve-se lembrar que o cryptowall também vasculha as unidades removíveis, podendo inutilizar pen drives, cartões de memória e HDs externos que estejam conectados à máquina.

E não se restringe à apenas unidades físicas. Compartilhamento de redes e mapeamentos Dropbox também podem ser incluídos.

Ou seja, toda e qualquer unidade poderá ser criptografada pelo vírus cryptowall.

A partir do momento que o cryptowall identifica um arquivo que suporta a ação, ele adiciona um caminho completo para o arquivo (<random>\CRYPTLIST HKEY_CURRENT_USER\Software\chave de registro).

O cryptowall também criará arquivos em cada pasta na qual houver um arquivo criptografado.

No final do processo infeccioso, todas as cópias de sombra de volume serão deletadas, a fim de evitar que os especialistas de TI possam usá-los.

Esta é uma forma de criminosos, por meio do cryptowall, forçar o pagamento do resgate, inviabilizando qualquer tipo de ação que possa levar à recuperação imediata de dados.

No final do processo de criptografia realizado pelo cryptowall, quando todos os arquivos estão inutilizados, abre-se uma janela, na qual há especificações para acessar a “descriptografia Serviço Cryptowall”.

Segundo a mensagem, o usuário pode pagar um resgate para comprar um software de descriptografia para ação do cryptowall.

Porém, os valores são exorbitantes: o valor inicial é de US$ 500 e vai aumentando ao longo do tempo, alcançando US$ 1000 em sete dias.

A especificação para a resolução do cryptowall é o pagamento em Bitcoins, como uma forma de os criminosos não serem rastreados, dificultando as autoridades a encontrarem os responsáveis pela ação.

Até o presente momento, não há nenhuma forma imediata de recuperação dos arquivos criptografados pelos cibercriminosos.

De forma que, caso o pagamento não seja realizado, o sequestro do cryptowall permanece.

Vale lembrar, também, que as versões mais recentes do malware não criptografam apenas os dados, mas também os nomes dos arquivos.

Assim, o cryptowall se enquadra na categoria dos ransomware, como veremos a seguir.

O que são os vírus ransomware?

Os vírus ransomware são aqueles que operam com a criptografia de dados no disco ou bloqueio de acesso ao sistema. O objetivo é realizar uma espécie de sequestro das informações.

Assim, a finalidade é forçar o usuário a pagar valores exorbitantes para ter acesso novamente aos arquivos contidos no disco rígido, principalmente aqueles que dependem da disponibilidade imediata deles.

Deve-se lembrar que o pagamento do resgate não significa que os criminosos irão honrar com o compromisso e liberar o acesso aos dados. Afinal, como confiar em quem corrompeu suas informações?

Por isso é importante ter em mente que, mesmo no desespero da inutilização das informações da empresa gerada pelo cryptowall, os responsáveis não paguem o resgate solicitado de imediato.

O cryptowall é apenas um dos vírus que operam desta forma, podendo incluir neste rol:

  • Ransomware Reveton;
  • Ransomware CryptoLocker;
  • Ransomware CryptoLocker.F  e TorrentLocker;
  • Ransomware KeRanger;
  • Ransomware Manamecrypt.

O que diferencia o cryptowall dos demais vírus ransomware?

Tenha consciência do seguinte ponto: a base de todos os vírus ransomware é o sequestro de informações. Porém, nem todos trabalham com a criptografia de dados.

Este, talvez, seja o ponto principal que diferencia o cryptowall das demais modalidades.

Por exemplo, o Ransomware Manamecrypt na verdade assemelha-se com um ataque de criptografia, mas, na verdade, ele apenas remove os arquivos para outro local protegido e de domínio dos cibercriminosos.

Outro diferencial é que o cryptowall trabalha com a exclusão das cópias de sombra, de forma que os gestores não podem utilizá-las para recuperar as informações.

Assim, torna-se impossível evitar a necessidade de recuperação de dados em backups externos.

Deve-se lembrar, também, que até o presente momento, o cryptowall atinge essencialmente os sistemas operacionais Windows, exigindo maior atenção por parte das empresas que utilizam este tipo em suas máquinas.

Como se proteger de infecções desta natureza?

É importante saber como os gestores de TI podem operar para proteger as máquinas da empresa de um ataque gerado por um vírus cryptowall.

Afinal, como é possível perceber, os danos são severos e, em muitos casos, irreversíveis. Por isso, veja o que pode ser feito para se precaver da situação.

Identifique a infecção antes dela ser concluída

Uma vantagem para os especialistas em segurança das empresas é que a ação do cryptowall é relativamente lenta. Caso seja identificada em seus estágios iniciais, pode-se realizar a sua remoção completa.

Assim, impede-se maior extensão do ocorrido e, portanto, a mitigação  dos danos provocados.

Utilize antivírus confiável

Um antivírus confiável e eficiente é essencial para barrar a entrada de qualquer malware na máquina.

E, consequentemente, os melhores do mercado contam com proteções que identificam o ransomware, seja o cryptowall ou demais modalidades.

Assim, evita-se que o código malicioso do cryptowall seja executado e a infecção comece a ocorrer.

Portanto, pesquise aqueles que oferecem a melhor proteção para a rede da empresa e invista nessa solução.

Realize backups eficientes

Mesmo com as medidas de proteção anteriores, é importante ressaltar que os cibercriminosos sofisticam suas formas de ação todos os dias.

Muitas vezes é difícil para os especialistas de segurança antever situações de problema.

E, muitas vezes, as empresas especialistas em segurança são surpreendidas. Foi exatamente o caso quando o cryptowall surgiu.

Portanto, evite perdas caso as medidas de proteção falhem. O backup é essencial para essas situações. Porém, é imprescindível ressaltar que os dados devem ser armazenados em locais protegidos.

Isto porque o cryptowall pode acessar itens que estejam em um HD USB ou servidor de backup.

Então, para evitar problemas, conte com parceiros importantes que trabalhem com este tipo de serviço.

Estabeleça níveis de acessos

Uma medida essencial é estabelecer níveis de acesso para os usuários, principalmente no que concerne à gravação de arquivos.

Isso evita que o vírus cryptowall se dissemine por toda a rede por meio do compartilhamento de rede de unidades mapeadas como uma letra de unidade.

Deve-se lembrar que esta é uma medida de segurança importante para toda e qualquer ação, não sendo exclusivamente uma proteção contra o cryptowall.

Tenha uma política de segurança

Previna que o sistema seja infectado, não só pelo cryptowall, por meio do estabelecimento de políticas de segurança. Essa documentação orientará as ações de todos os membros da empresa.

As políticas de segurança englobam desde os colaboradores da área de TI, os gestores e até os colaboradores das demais áreas que trabalham com máquinas.

Condutas seguras, medidas preventivas, ações de mitigação de danos em caso de problemas, todos esses devem ser devidamente mencionados, a fim de orientar as ações de cada pessoa.

Assim, em caso de problemas — como um ataque cryptowall — os colaboradores saberão como proceder, evitando maiores prejuízos.

Treine funcionários para condutas seguras

O treinamento dos funcionários é essencial para saber como agir no momento em que a infecção do cryptowall é identificada.

Não adianta apenas realizar a criação de políticas de segurança, é preciso treinar a equipe. Isso é essencial para diminuir imprudências e nervosismos desnecessários.

Muitos dos colaboradores podem se sentir tentados a resolverem a questão sozinhos. Isso é perigoso, pois, pode piorar ainda mais a situação, prejudicando as equipes de segurança da informação.

Além disso, o treinamento também deve ser feito dentro do departamento de TI, a fim de orientar o que deve ser feito para identificar inicialmente uma infecção de cryptowall.

Deve-se assim, orientar as medidas imediatas a serem tomadas e quem avisar (em caso de contratação de empresa terceirizada).

Assim, os colaboradores não agirão de forma impulsiva ou desesperada, priorizando a resolução do problema e conseguindo resolvê-lo rapidamente, sem potencializar os danos causados e os prejuízos gerados.

O ataque ocorreu, o que fazer?

O ataque ocorreu, todos os dados foram criptografados e a identificação só ocorreu no final do processo, de forma que não foi possível revertê-lo. O que fazer agora?

Em primeiro lugar, mantenha a calma. É normal que profissionais mais desesperados se encontrem em uma situação de ansiedade pela resolução, principalmente porque os serviços ficam paralisados devido à indisponibilidade dos dados.

Lembra-se do que falamos acerca das políticas de segurança? Essa é a hora de seguir os passos do manual, ou seja, cada passo que foi definido anteriormente. Lembre-se de segui-los à risca, ok?

Caso a organização conte com o serviço de proteção e resolução de problemas oferecido por empresas especializadas em segurança, é hora de acioná-la. Lembre-se de passar todas as informações sobre o ocorrido.

Os especialistas irão identificar o ocorrido e, assim, solicitar a realização de uma série de protocolos para a tentativa de minimização do problema e recuperação das informações.

Caso ainda assim não seja possível, o próximo passo é a formatação do disco rígido e o uso das informações contidas nos backups externos.

Um lembrete: nunca realize o pagamento do resgate para os cibercriminosos. Além de ser um reforço para as ações criminosas como o uso do cryptowall, não é garantia de que eles irão liberar o acesso.

Quais os prejuízos que um ataque dessa natureza pode ocasionar?

Os danos gerados por uma infecção por cryptowall são diversos e vão muito além dos financeiros. Confira os principais deles.

Toda a rede pode ser infectada

Como falamos no início deste artigo, o cryptowall possui uma característica bastante delicada: ele pode infectar todas as unidades de rede mapeadas como uma letra de unidade na máquina infectada.

Assim, toda a rede compartilhada desta forma pode ser atingida pelo cryptowall, tendo seus computadores também criptografados.

Quando se estabelece níveis de acesso, apenas as máquinas que geram gravação de informações na rede poderão causar este problema. Isso diminui o potencial lesivo de uma ação desta natureza.

Prejuízos financeiros pela paralisação dos serviços

Este é o mais visível prejuízo gerado pela infecção pelo cryptowall. A inutilização dos serviços causa um forte impacto imediato na empresa, principalmente para quem depende do uso das informações.

Além disso, há os custos com a contratação de serviço de mitigação de danos gerados pelo cryptowall (caso não tenha sido contratado anteriormente), o que também representa um aumento de gastos.

Cada minuto nessa circunstância pode ser prejudicial e poderá custar caro para a organização futuramente, não só de forma imediata, como veremos a seguir.

Problemas de reputação no mercado

Além dos prejuízos financeiros imediatos, é importante ter consciência de que um ataque de cryptowall pode levar à queda da reputação da empresa no mercado.

Este tipo de consequência demanda esforços severos para resolver a questão e nem sempre é de rápida resolução.

A paralisação dos serviços poderá gerar insatisfação no cliente, principalmente se isso ocorre a longo prazo (mais de um dia com indisponibilidade, por exemplo), levando-o a realizar a compra em outro local.

Além disso, caso vaze a informação concernente ao ataque, o público leigo pode ter uma impressão ruim, por não conhecer o mecanismo de ação de um cryptowall.

A sensação para eles é de que a segurança de informação da empresa é vulnerável, podendo deixar as informações pessoais dos clientes expostas em um novo ataque.

Com receio de passar por fraudes, como a clonagem de cartão, o cliente prefere realizar a compra com o concorrente, gerando perdas de vendas a longo prazo para a empresa que sofreu o ataque.

Necessidade de recuperação de informações de banco de dados

Outro problema que pode ocorrer com um ataque de cryptowall é a necessidade de recuperação de banco de dados quando não há possibilidade de reencontrar o que foi perdido.

Por exemplo, se as informações dos bancos de dados foram criptografadas e o backup disponibilizado em HDs USB, torna-se inviável ter acesso imediato aos dados necessários.

Consequentemente, é necessário que a empresa encontre uma forma de recuperar parte daquilo que foi perdido. E isso demanda tempo extra que poderia ser dedicado a outras atividades.

Além disso, muitos dados não podem ser recuperados apenas com o esforço dos colaboradores (por exemplo, cadastros de antigos clientes), o que pode gerar problemas posteriores.

Pode-se perceber, assim, que o cryptowall é um vírus de alto potencial lesivo para toda e qualquer organização, independentemente de sua área de atuação.

Isto porque, cada vez mais, informação é poder. E sua inutilização tira potencial de vendas, paralisa atividades, entre outros pontos delicados.

Assim, toda atividade que interrompa o uso dos dados no dia a dia é altamente prejudicial, causando prejuízos severos. E o cryptowall é uma das modalidades mais danosas atualmente.

Com isso, torna-se essencial que o gestor de TI acompanhe constantemente as melhores práticas de segurança de dados e proteção contra cibercrimes semelhantes ao cryptowall, a fim de implementar medidas que podem evitar um possível ataque.

Neste artigo você aprendeu o que é o cryptowall e seu modo de atuação. Assim, pode aprender que ele é uma modalidade de vírus que se enquadra no rol de malwares ransomware.

Também viu quais são as principais formas de proteção para a atuação deste vírus e que devem ser implementadas imediatamente na organização.

Por fim, também compreendeu quais são as consequências que o uso do cryptowall pode ocasionar e a dimensão dos prejuízos gerados.

Então, previna-se. Saiba como evitar um ataque de cryptowall ou, caso ocorra, saiba como recuperar os arquivos da organização e diminuir os prejuízos causados. Conheça o serviço de proteção da Eco IT e cuide da segurança de dados da sua organização.


Compartilhe com um amigo!