O que é o CryptoLocker

O CryptoLockers é um malware que criptografa arquivos em desktops e compartilhados na rede e “os prende” até o pagamento de um resgate
Emilia Bertolli
3 minuto de leitura
Ultima atualização 28 de Outubro de 2021

O CryptoLocker é um malware e pode ser muito prejudicial para qualquer empresa orientada por dados. Depois que o código é executado, ele criptografa arquivos em desktops e compartilhados na rede e “os prende até o pagamento de um resgate”, alertando ao usuário que para abrir o arquivo é preciso pagar para descriptografá-los.

Malwares como o CryptoLocker podem invadir uma rede protegida por meio de vários vetores, incluindo e-mail, sites de compartilhamento de arquivos e downloads. Suas novas variantes escaparam das tecnologias de antivírus e firewalls. Exatamente por isso, para evitar o problema que um host infectado pode causar, uma segunda linha de defesa é recomendada por intermédio de controle de acesso e correções.

O que o CryptoLocker faz?
Na execução, o Cryptolocker verifica as unidades de rede mapeadas e em quais hosts está conectado para ter acesso às pastas e documentos. Ele renomeia e criptografa todos os que contam com as permissões de acesso determinadas pelas credenciais do usuário que executou o código.

O vírus usa uma chave RSA de 2048 bits para criptografar os arquivos e os renomeia anexando uma extensão – .encrypted ou . criptolocker ou outra com sete caracteres aleatórios, dependendo da variante. Por fim, o malware cria um arquivo em cada diretório afetado que leva a uma página da Web com instruções para descriptografá-los e que exige que o usuário efetue um pagamento.

Como impedir o CryptoLocker?
Quantos mais arquivos uma conta de usuário tiver acesso, mais danos o malware pode causar. Restringir o acesso é, portanto, um curso de ação prudente, pois limita o que pode ser criptografado.

Embora o uso de um modelo com menos privilégios não seja uma solução rápida, é possível reduzir a exposição removendo grupos de acesso globais desnecessários das listas de controle de acesso. Grupos como “Todos”, “Usuários autenticados” e “Usuários de domínios” podem expor hierarquias inteiras e todos os usuários de uma empresa.

Apesar de ser mais fácil usar soluções projetadas para encontrar e eliminar esses grupos, é possível identificar compartilhamentos abertos criando um usuário sem associação a grupos e usando as credenciais dessa conta para “verificar” o ambiente de compartilhamento de arquivos. Por exemplo, comandos básicos no CMD do Windows podem ser usados para enumerar e testar compartilhamentos para acessibilidade.

net view (enumera os hosts próximos)
net view \\ host (enumera compartilhamentos)
net use X: \\ host \ share (mapeia uma unidade para o compartilhamento)
dir / s (enumera todos os arquivos legíveis pelo usuário sob o compartilhamento)

Esses comandos podem ser facilmente combinados em um script em lote para identificar pastas e arquivos acessíveis. Entretanto,  soluções automatizadas ajudam a ir além da eliminação do acesso global, possibilitando a obtenção de um verdadeiro modelo com menos privilégios e a eliminação do gerenciamento manual e ineficaz do controle de acesso ao mesmo tempo.

Como detectar o CryptoLocker?
Se a atividade de acesso ao arquivos for monitorada  em servidores que contenham arquivos infectados, esse comportamento gera um número enorme  de eventos abertos, modificados e criados em um ritmo muito rápido, sendo fáceis de serem identificados com a automação. Por exemplo, se uma única conta de usuário modificar 100 arquivos em um minuto, é provável que algo errado está acontecendo. Portanto, é importante configurar a solução de monitoramento para acionar um alerta quando esse tipo de comportamento for identificado.

Se não houver uma solução de monitoramento, no lugar de tentar habilitar a auditoria nativa e coletar logs de auditoria nativa em cada sistema, se deve priorizar áreas sensíveis e configurar um honeypot de compartilhamento de arquivos.

Um honeypot de compartilhamento de arquivos é um compartilhamento de arquivos acessíveis que podem ser comuns ou valiosos, mas que, na realidade, são falsos. Como nenhuma atividade de usuário legitimo deve ser associada a um honeypot, qualquer atividade observada deve ser analisada cuidadosamente.

Se o mecanismo de controle puder acionar uma resposta automatizada, como desabilitar a conta do usuário, o ataque é efetivamente interrompido antes de causar danos, e a resposta pode incluir:

  • Notificação para os administradores
  • Verificação do registro para checagem de chaves/valores conhecidos que o CryptoLocker cria:
    Get-Item HKCU: \ Software \ CryptoLocker \ Arquivos) .GetValueNames ()
    Se o valor existir, é preciso desativar o usuário automaticamente.

Para evitar o CryptoLocker deve-se:

  • Atualizar o antivírus e software de proteção de endpoints
  • Evitar golpes de phishing
  • Manter arquivos de backup dos documentos
  • Comprometer-se com um modelo de confiança zero/mínimo privilégio
  • Monitorar a atividade de arquivos e o comportamento do usuário

Novas variantes de ransomware aparecem a todo momento, por sorte, a equipe forense de segurança da Varonis faz o trabalho pesado e atualiza diligentemente as assinaturas de ransomware detectadas. Faça uma demonstração gratuita e saiba como nossa arquitetura de defesa de ransomware é projetada para proteger dados corporativos contra ataques.

O que devo fazer agora?

Listamos abaixo três recomendações para reduzir os riscos de dados na sua organização:

1

Agende uma demonstração conosco: Veja a usabilidade de Varonis em uma sessão personalizada com base nas necessidades de segurança de dados da sua organização. Responderemos a todas as suas perguntas.

2

Veja um exemplo do nosso Relatório de Risco de Dados: Conheça as ameaças que podem permanecer no seu ambiente. O Relatório da Varonis é gratuito e demonstra claramente como realizar a remediação automatizada.

3

Siga-nos no LinkedIn, YouTube e X (Twitter): Obtenha insights detalhados sobre todos os aspectos da segurança de dados, incluindo DSPM, detecção de ameaças, segurança de IA, entre outros.

Experimente Varonis gratuitamente.

Obtenha um relatório detalhado de risco de dados com base nos dados da sua empresa.
Implanta em minutos.

Keep reading

Varonis tackles hundreds of use cases, making it the ultimate platform to stop data breaches and ensure compliance.

ids-vs.-ips:-o-que-as-organizações-precisam-saber-para-se-proteger
IDS vs. IPS: o que as organizações precisam saber para se proteger
Um IDS gera alertas para que a equipe de segurança possa agir de acordo com o problema. O IPS vai além e desliga a rede 
estrutura-mitre-att&ck:-tudo-o-que-você-precisa-saber
Estrutura MITRE ATT&CK: tudo o que você precisa saber
A MITRE ATT&CK é um modelo criado pela MITRE para documentar e rastrear diversas técnicas usadas pelos invasores nos diferentes estágios de um ataque cibernético para se infiltrar em uma rede e exfiltrar dados. 
guia-de-migração-de-dados:-sucesso-estratégico-e-práticas-recomendadas
Guia de migração de dados: sucesso estratégico e práticas recomendadas
A migração de dados precisa de um projeto robusto para evitar o impacto nos negócios e com o orçamento 
o-que-é-uma-porta-smb-+-explicação-sobre-as-portas-445-e-139
O que é uma porta SMB + Explicação sobre as portas 445 e 139
Uma porta SMB é uma porta de rede que costuma ser usada para compartilhamento de arquivos. O programador da IBM Barry Feigenbaum desenvolveu o protocolo Server Message Blocks (SMB) na década de 1980 para IBM DOS. O SMB continua sendo o protocolo padrão de compartilhamento de arquivos de rede usado até hoje.