Vírus

André Pereira

1513
473
Sexo:
"Sucesso é mais atitude do que aptidão."

« em: Janeiro 13, 2017, 11:53:59 am »

Bom dia colegas,

Para vosso conhecimento e divulgação:

Ontem foram divulgadas notícias de novos ataques de informáticos (ransomware) em que os alvos ficaram com toda a sua informação encriptada.

Os ransomware são vírus que encriptam toda a informação do disco rígido. Para tal, é usado como isco um e-mail que contem links ou anexos que depois de abertos despoletam o ataque.

Depois do utilizador tentar abrir o ficheiro ou link malicioso, o sistema é de imediato “resgatado” ficando bloqueado. Em poucos segundos aparece uma mensagem a referir que o sistema está a verificar possíveis erros no sistema de ficheiros.

Estes vírus encriptam a informação do computador não sendo possível recuperar a informação.

Caso estejam configurados mapeamentos para servidores, os dados aos quais o utilizador que despoletou a infecção tem acesso também serão encriptados.

É fundamental que não abram emails de remetentes desconhecidos e principalmente que tenham anexos ou links (não abram os links).

Em caso de dúvida nunca abram os anexos, eliminem definitivament e o email.

Para evitar qualquer ataque a melhor arma é a análise cuidada que o utilizador deverá efectuar aos emails recebidos.

Os antivírus ainda não detectam nem bloqueiam este tipo de ameaça.

Sugestões:

• Ter muita atenção na análise dos emails recebidos;
• Verificar se conhecem os remetentes (verifiquem sempre o email do remetente), caso não conheçam e os emails tenham anexos, estes nunca devem ser abertos;
• Os emails enviados parecem fidedignos, tendo como remetentes a EDP, entidades bancárias ou outras empresas de grande dimensão, nomeadamente a Microsoft;
• Em outros casos os remetentes são claramente não genuínos;
• Em caso de dúvida nunca abrir os emails mas sim eliminar definitivament e;
• Se receberem um email do próprio remetente (de vós próprios) deverão também não abrir esses emails ainda mais importante se estes tiverem anexos;
• O tipo de anexo mais comum são ficheiros ZIP mas podem ter outros formatos, por exemplo PDF;
• Caso detectem que tenham sido infectados deverão de imediato desligar o cabo de rede do equipamento para minimizar a infecção dos restantes equipamentos, idealmente desligar o equipamento;
• Os restantes computadores da rede idealmente também deverão ser desligados;
• Manter cópias de segurança actualizadas de toda a informação relevante da empresa é absolutamente fundamental;
• Em caso de suspeita de ataque o disco de backup deverá ser desligado imediatamente para que também não seja afectado;

Divulgem....

Espero que ajude...

Registado

Cumprimentos,
André Pereira

Ana Soares

91
18
Sexo:

Re: Vírus

« Responder #1 em: Janeiro 13, 2017, 11:59:08 am »

Bom dia colega,

Obrigada pela informação... de extrema importância...

Registado

Cumprimentos,
Ana Sofia Soares

kushinadaime

2746
90

Re: Vírus

« Responder #2 em: Janeiro 13, 2017, 06:24:39 pm »

Essa já é demasiado velha...

Actualmente isto nem sempre é imediato, há uns quantos que se clica, e ficam adormecidos na rede até que chegue uma hora, ou um evento qualquer ou uma ordem remota do criminoso e encriptam todas as unidades de rede.

Muitas vezes não aparece nenhuma mensagem.

Não é necessário ter unidades de rede mapeadas, em alguns casos basta ter ligações de intranet.

É extremamente fácil falsificar-se o remetente de um email, pode-se por um link com o texto exemplo@sapo.pt e a apontar para o endereço Asdrubal@exemplo.pt e prontos..., mas isso ainda não é nada, para quem sabe é extremamente fácil fazer spoofing a uma morada de email, e com isto falsificar o endereço do remetente a sério, especialmente se o servidor do remetente for "amador", isto sem falar de que nada nos garante que o remetente do email que nós conhecemos não tem vírus no computador dele.

Em caso de suspeita o disco de backup só pode ser desligado se ele não estiver a ser encriptado, se ele já estiver a ser encriptado não será possível ejectar o disco e pura e simplesmente arrancar o fio provavelmente (não é uma certeza, quase) destruirá o disco.

As cópias de segurança não deverão ser feitas para discos externos ligados permanentement e a um computador, imaginem que a rotina que encripta corre durante a noite...

Uma alternativa barata aos sistemas de backup profissionais é ter dois discos externos, e hoje faz-se cópias para um disco, amanhã desliga-se o disco e liga-se o outro...

Há que ter cuidado com as configurações de utilizadores do computador e do servidor para quem os tem, por exemplo ter uma conta de administrador com um nome totalmente aleatório com palavra passe totalmente aleatória que se utiliza apenas para instalar programas e mudar configurações base de sistema, e utilizar o computador com um nome de utilizador aleatório diferente, e uma password aleatória diferente é suficiente para derrotar os ataques menos evoluídos.

Se não alteraram o nome de utilizador e a palavra passe de acesso ao vosso router, e ainda tem aquela que o operador forneceu é mau..., especialmente se o acesso externo ao router está activo (façam um teste, vão ao site que dê o ip "externo" http://www.omeuip.com/ e anotem o ip dado, e digitem esse ip na morada, se não tiverem nada publicado na internet não podem ter nenhum tipo de resposta).

Registado