Varonis debuts trailblazing features for securing Salesforce. Learn More

Apresentamos a automação de privilégios mínimos para Microsoft 365, Google Drive e Box

Saiba Mais

O que é o CryptoLocker

O CryptoLockers é um malware que criptografa arquivos em desktops e compartilhados na rede e “os prende” até o pagamento de um resgate
Emilia Bertolli
3 minuto de leitura
Publicado 29 de Outubro de 2018
Ultima atualização 28 de Outubro de 2021

O CryptoLocker é um malware e pode ser muito prejudicial para qualquer empresa orientada por dados. Depois que o código é executado, ele criptografa arquivos em desktops e compartilhados na rede e “os prende até o pagamento de um resgate”, alertando ao usuário que para abrir o arquivo é preciso pagar para descriptografá-los.

Malwares como o CryptoLocker podem invadir uma rede protegida por meio de vários vetores, incluindo e-mail, sites de compartilhamento de arquivos e downloads. Suas novas variantes escaparam das tecnologias de antivírus e firewalls. Exatamente por isso, para evitar o problema que um host infectado pode causar, uma segunda linha de defesa é recomendada por intermédio de controle de acesso e correções.

O que o CryptoLocker faz?
Na execução, o Cryptolocker verifica as unidades de rede mapeadas e em quais hosts está conectado para ter acesso às pastas e documentos. Ele renomeia e criptografa todos os que contam com as permissões de acesso determinadas pelas credenciais do usuário que executou o código.

O vírus usa uma chave RSA de 2048 bits para criptografar os arquivos e os renomeia anexando uma extensão – .encrypted ou . criptolocker ou outra com sete caracteres aleatórios, dependendo da variante. Por fim, o malware cria um arquivo em cada diretório afetado que leva a uma página da Web com instruções para descriptografá-los e que exige que o usuário efetue um pagamento.

Como impedir o CryptoLocker?
Quantos mais arquivos uma conta de usuário tiver acesso, mais danos o malware pode causar. Restringir o acesso é, portanto, um curso de ação prudente, pois limita o que pode ser criptografado.

Embora o uso de um modelo com menos privilégios não seja uma solução rápida, é possível reduzir a exposição removendo grupos de acesso globais desnecessários das listas de controle de acesso. Grupos como “Todos”, “Usuários autenticados” e “Usuários de domínios” podem expor hierarquias inteiras e todos os usuários de uma empresa.

Apesar de ser mais fácil usar soluções projetadas para encontrar e eliminar esses grupos, é possível identificar compartilhamentos abertos criando um usuário sem associação a grupos e usando as credenciais dessa conta para “verificar” o ambiente de compartilhamento de arquivos. Por exemplo, comandos básicos no CMD do Windows podem ser usados para enumerar e testar compartilhamentos para acessibilidade.

net view (enumera os hosts próximos)
net view \\ host (enumera compartilhamentos)
net use X: \\ host \ share (mapeia uma unidade para o compartilhamento)
dir / s (enumera todos os arquivos legíveis pelo usuário sob o compartilhamento)

Esses comandos podem ser facilmente combinados em um script em lote para identificar pastas e arquivos acessíveis. Entretanto,  soluções automatizadas ajudam a ir além da eliminação do acesso global, possibilitando a obtenção de um verdadeiro modelo com menos privilégios e a eliminação do gerenciamento manual e ineficaz do controle de acesso ao mesmo tempo.

Como detectar o CryptoLocker?
Se a atividade de acesso ao arquivos for monitorada  em servidores que contenham arquivos infectados, esse comportamento gera um número enorme  de eventos abertos, modificados e criados em um ritmo muito rápido, sendo fáceis de serem identificados com a automação. Por exemplo, se uma única conta de usuário modificar 100 arquivos em um minuto, é provável que algo errado está acontecendo. Portanto, é importante configurar a solução de monitoramento para acionar um alerta quando esse tipo de comportamento for identificado.

Se não houver uma solução de monitoramento, no lugar de tentar habilitar a auditoria nativa e coletar logs de auditoria nativa em cada sistema, se deve priorizar áreas sensíveis e configurar um honeypot de compartilhamento de arquivos.

Um honeypot de compartilhamento de arquivos é um compartilhamento de arquivos acessíveis que podem ser comuns ou valiosos, mas que, na realidade, são falsos. Como nenhuma atividade de usuário legitimo deve ser associada a um honeypot, qualquer atividade observada deve ser analisada cuidadosamente.

Se o mecanismo de controle puder acionar uma resposta automatizada, como desabilitar a conta do usuário, o ataque é efetivamente interrompido antes de causar danos, e a resposta pode incluir:

  • Notificação para os administradores
  • Verificação do registro para checagem de chaves/valores conhecidos que o CryptoLocker cria:
    Get-Item HKCU: \ Software \ CryptoLocker \ Arquivos) .GetValueNames ()
    Se o valor existir, é preciso desativar o usuário automaticamente.

Para evitar o CryptoLocker deve-se:

  • Atualizar o antivírus e software de proteção de endpoints
  • Evitar golpes de phishing
  • Manter arquivos de backup dos documentos
  • Comprometer-se com um modelo de confiança zero/mínimo privilégio
  • Monitorar a atividade de arquivos e o comportamento do usuário

Novas variantes de ransomware aparecem a todo momento, por sorte, a equipe forense de segurança da Varonis faz o trabalho pesado e atualiza diligentemente as assinaturas de ransomware detectadas. Faça uma demonstração gratuita e saiba como nossa arquitetura de defesa de ransomware é projetada para proteger dados corporativos contra ataques.

What you should do now

Below are three ways we can help you begin your journey to reducing data risk at your company:

  1. Schedule a demo session with us, where we can show you around, answer your questions, and help you see if Varonis is right for you.
  2. Download our free report and learn the risks associated with SaaS data exposure.
  3. Share this blog post with someone you know who'd enjoy reading it. Share it with them via email, LinkedIn, Reddit, or Facebook.
Try Varonis free.
Get a detailed data risk report based on your company’s data.
Deploys in minutes.
Keep reading
por-trás-do-rebranding-da-varonis
Por trás do rebranding da Varonis
Descubra a estratégia por trás do rebranding da Varonis, que envolveu uma transição completa para um arquétipo de herói e a introdução do Protector 22814.
o-que-é-uma-avaliação-de-risco-de-dados-e-por-que-você-deve-fazer
O que é uma avaliação de risco de dados e por que você deve fazer
A avaliação de risco dados é essencial para saber onde os dados estão armazenados, quem os utiliza e se estão em segurança 
ameaças-internas:-3-maneiras-pelas-quais-a-varonis-ajuda-você
Ameaças internas: 3 maneiras pelas quais a Varonis ajuda você
Ameaças internas são difíceis de combater por que os insiders podem navegar em dados confidenciais sem serem detectados 
guia-de-migração-de-dados:-sucesso-estratégico-e-práticas-recomendadas
Guia de migração de dados: sucesso estratégico e práticas recomendadas
A migração de dados precisa de um projeto robusto para evitar o impacto nos negócios e com o orçamento