Bad Rabbit, apenas mais um Ransomware...

A partir da nossa anlise, o vetor de infeco inicial para o Ransomware Bad Rabbit entre outros, atravs
de e-mails e de acesso sites comprometidos que hospedam um script malicioso injetado. O script
direciona os usurios para um site secundrio onde o arquivo ransomware real baixado. O arquivo
propriamente dito pode estar disfarado como uma atualizao do Adobe Flash Player ou outro software.

Ransomware algo assustador para muitos, acredita-se que 70% do mundo est passvel de sofrer com
essa ameaa ou algo do tipo, e o motivo para isso muito simples. NEGLIGNCIA.

Negligncia, displicncia, falta de conhecimento dos gestores de T.I. ou por falta de investimentos
adequados nessa rea.

Parando para pensar, questionamentos bsicos e simples, que atendem na maioria dos casos CEO ao
estagirio, como por exemplo:
Algum da sua empresa tem negcios na China, na Rssia, h de fato a necessidade de acessar sites
destes pases? H algum tipo de bloqueio para navegar em sites hospedados nestes pases?
Mais de 3% dos e-mails que voc recebe voc no faz ideia da origem do mesmo ou porque recebeu
essa mensagem?
Voc sabia que um funcionrio mal-intencionado, ele mesmo, com nenhum conhecimento de
segurana pode propositalmente ativar um ransomware em sua empresa e provavelmente nunca
ser descoberto? Ou ser rastreado.

Voltando ao passado, onde Ransomware era algo que nem existia, essa falha era comum e todos sabem
a resposta, se seu usurio compactou uma pasta, com documentos importantes para sua empresa, e
acidentalmente digitou a senha errada ou a perdeu... e ai, o que fazer??? Uma vez que voc no possui
backup?

Na minha viso um Ransomware o mesmo que isso, obviamente que bem mais otimizado e sofisticado
para lograr xito no sequestro e na maior amplitude do ataque, e so as brechas criadas pelas empresas
que alegram o bolso de muitos malfeitores.

Atualmente no h muito segredo em se manter bem protegido, e no basta apenas ter um bom antivrus.
No mercado estamos cheios de grandes e milagrosas empresas que prometem o mundo e fundos, que
so as nicas a fazer algo que so as solues para seus problemas e tambm existe aquelas que at
instalam automaticamente sem voc no fazer ideia de onde veio, O Marketing e a Publicidade Lindo!

Para se proteger bem simples, basta seguir orientaes de segurana que conhecemos a anos! Vamos l.

1. Faa backup de todos os arquivos necessrios regularmente e guarde-os em um local no

conectado ao computador ou rede. Isso significa que, mesmo que seu computador seja afetado,
voc ter cpias de segurana para reestabelecer seus servidores. (Ao perder um arquivo, por
malware ou acidentalmente, s o backup ir lhe salvar, ou comece a rezar, ou... se conforme...).
2. Aplique todos os patches de segurana crticos e importantes para todos os sistemas operacionais e
aplicativos instalados. Isso evita cenrios em que o vetor de ataque no utiliza somente o servio
de correio eletrnico, mas ataques que exploram vulnerabilidades do sistema operacional e de
aplicativos.

3. Em suas solues de segurana End-Point, certifique-se de que os mdulos de reputao como o

F-Secure DeepGuard, Firewall (SIM tem que ligar o firewall, e, NO basta ter um firewall de
borda) e a proteo em tempo real esto ativadas em todos os seus dispositivos, e que seus usurios
(incluindo o seu DIRETOR) no possam desativa-los.

4. Ainda em suas solues de segurana End-Point, certifique-se de que o escaneamento online, como
o F-Secure Security Cloud esteja ativado para obter a reputao de arquivos e processos em
tempo real.

5. Ative o Firewall (perfil OFFICE) e bloqueie o compartilhamento de arquivos e impressoras de todas

as suas estaes (SIM, estao de trabalho no servidor de arquivos, isso deve ser eliminado
totalmente de sua rede e centralizado em seu Servidor para facilitar o Backup dos dados).

6. Permita privilgios administrativos somente queles usurios que realmente necessitam deste
privilgio, tanto no domnio como nos hosts. Desabilite usurios convidados. Usurios
administradores so usados apenas em caso de necessria elevao de privilgios, isso por
mais que voc seja o administrador, NUNCA trabalhe usando esse usurio, mas sim, abra as
aplicaes usando esse privilgio, apenas quando necessrio (Executar Como...).

7. Proteja a navegao de seus usurios com um filtro de contedo com classificao de sites por
reputao evitando acessos indevidos e desnecessrios, como sites de outros pases com pouco
controle da internet, por exemplo Rssia, Ucrnia, China, entre outros.

8. Mantenha polticas de segurana em sua rede preferencialmente dentro dos padres de

conformidade. (As GPOs fazem milagres).

9. Mantenha atualizado e ative todos os recursos de segurana da sua soluo de antivrus e mantenha-
o atualizado com os bancos de dados de assinatura mais recentes.

10. Tenha uma soluo de proteo de e-mails eficiente e funcional. Lembre-se, o maior vetor de
propagao destes cdigos o servio de correio eletrnico.

11. Evite abrir e-mails enviados por um remetente desconhecido, especialmente se ele contm um
anexo ou um link, independente do assunto, contedo.

12. No Windows, Habilite "Mostrar arquivos, pastas e unidades ocultas" e desative "Ocultar extenso
de tipos de arquivos conhecidos". Isso ajuda voc a detectar arquivos que possuem mltiplas
extenses de arquivos. (GPOs podem lhe ajudar nisso.)

13. No Windows, Desabilite/Controle o servio "WMI" do Windows. (GPOs podem lhe ajudar nisso.).
 14. No Windows, Desabilite/Controle o servio "Registro Remoto" do Windows. (GPOs podem lhe
ajudar nisso.).

15. Bloqueie a execuo de arquivos C:\windows\infpub.dat e C:\Windows\cscc.dat (GPOs podem lhe

ajudar nisso.).

16. No Microsoft Office, verifique se as configuraes de 'Configuraes de macro' esto definidas

para 'Desativar macros com notificao'. Isso bloquear que as macros sejam executadas
automaticamente quando o arquivo do documento for aberto.

17. No Office 2016, voc pode modificar as configuraes para bloquear macros de execuo em todos
os documentos que vm da Internet. Este novo recurso foi adicionado em resposta ao ressurgimento
de malwares que utilizam macros. Mais informaes e instrues esto disponveis
em: https://blogs.technet.microsoft.com/mmpc/2016/03/22/new-feature-in-office-2016-can-block-
macros-and-help-prevent-infection/

Das sugestes acima, esto algumas que so mais comuns, dentre as centenas de falhas que as empresas
no mundo fora no seguem, procedimentos simples de se adequar.

Dentre elas, muitos de vocs j ouviram falar e j so conhecidas, mas nem todas executadas...

A ateno do momento o coelhinho, amanh pode ser a raposa... sua empresa estar preparada para
isso?

Lembrem-se a preveno o melhor remdio.

Para mais informaes acesse:

https://www.f-secure.com/v-descs/trojan_w32_rabbad.shtml
https://www.f-secure.com/en/web/labs_global/crypto-ransomware

Tiago Oliveira Guerra

Analisa de Segurana
(41) 9-8496-0282