Ataques de Ransomware e Recuperação de Dados: Visão Geral Completa

Dadas as perdas de dados e o tempo de inatividade que causam, os ataques de ransomware são uma ameaça perigosa para empresas em qualquer setor. O valor médio do resgate em 2023 atingiu US$ 1,54 milhão de acordo com a Sophos. Infelizmente, a intensidade dos ataques de ransomware está aumentando ano após ano. Todos estão em risco. Depois de instalado em um computador, o ransomware exclui ou corrompe dados usando algoritmos de criptografia forte.

Os atores maliciosos por trás do ransomware geralmente exigem uma quantia em dinheiro (um resgate) para liberar os dados e torná-los disponíveis novamente. No entanto, além de incentivar criminosos, esses pagamentos não garantem que você tenha acesso completo a dados utilizáveis. Esta postagem no blog explica como se recuperar de um ataque de ransomware de forma eficaz, evitando transações com os agressores.

O que Fazer Depois de um Ataque de Ransomware

Apesar das numerosas medidas preventivas disponíveis, ainda existe a possibilidade de que sua organização seja vítima de um ataque de ransomware. As seguintes práticas podem ajudar a minimizar o impacto de um ataque de ransomware se e quando isso acontecer. Se suas máquinas forem infectadas com ransomware, siga estas recomendações antes de recuperar arquivos do ransomware.

• Desconecte o dispositivo infectado. Assim que detectar que uma máquina está infectada com malware, você deve desconectar imediatamente o dispositivo da rede e dos dispositivos de armazenamento externo. Dessa forma, você pode garantir que outras máquinas e sistemas em sua infraestrutura não sejam infectados também. Este passo permite que você salve dados não afetados e reduza a quantidade de trabalho necessária para recuperar arquivos de ransomware.

  Depois disso, identifique o número de máquinas que foram realmente afetadas pelo ataque de ransomware e procure por atividades suspeitas em sua infraestrutura.

• Identifique o tipo de ransomware. Converse com a pessoa que detectou o problema primeiro. Pergunte o que estavam fazendo antes do incidente, se receberam emails com anexos suspeitos e quais arquivos foram baixados recentemente. Identificar o tipo de ransomware fornece informações valiosas que podem ser usadas para identificar vulnerabilidades no seu sistema de proteção de dados e modificá-lo conforme necessário.

  Além disso, se você conseguir determinar o tipo de ransomware, poderá saber exatamente como seus arquivos estão sendo afetados (ou seja, se estão criptografados ou bloqueados). Então, você pode entender as repercussões potenciais de não pagar o resgate e qual estratégia deve ser usada para se recuperar com sucesso do ataque de ransomware.

• Relatar o problema. Durante o treinamento dos funcionários, explique à equipe a importância de notificar a equipe de suporte de TI sobre qualquer atividade suspeita em suas máquinas. Dessa forma, os profissionais de TI podem responder ao ataque de ransomware a tempo antes que danos graves sejam causados. Em seguida, relate o ataque de ransomware às autoridades (por exemplo, o FBI se você estiver nos Estados Unidos) e forneça a elas todas as informações necessárias sobre o incidente. Relatar às autoridades pode ajudar a prevenir futuros ataques pelo(s) mesmo(s) ator(es) de ransomware.

• Não pague o resgate. Autoridades policiais aconselham contra o cumprimento das exigências dos atacantes porque isso incentiva ainda mais ataques de ransomware no futuro. Hackers em busca de dinheiro rápido irão vê-lo como um alvo fácil para seus ataques futuros. Além disso, na maioria dos casos, pagar o resgate não garante que os atacantes irão desbloquear ou descriptografar os dados conforme prometido. Lembre-se de que você está lidando com criminosos que estão interessados apenas no lucro.

• Identifique o impacto do ataque de ransomware. Você deve determinar quanto dados foram corrompidos, quantas máquinas foram infectadas como resultado do ataque e quanto tempo levará para se recuperar do ataque. Além disso, avalie a criticidade dos dados tornados indisponíveis e determine se eles podem ser recuperados sem pagar o resgate.

• Recupere seu sistema do ransomware. Depois de remover o ransomware de seus computadores, você pode iniciar a recuperação do ataque de ransomware.

Opções de Recuperação para Arquivos Criptografados por Ransomware

Existem vários métodos para recuperação de dados após um ataque de ransomware. A eficácia desses métodos varia dependendo da situação.

Utilizando ferramentas integradas no seu sistema operacional

Se você usa o Windows 10, pode tentar usar uma utilidade de Restauração do Sistema do Windows para recuperar configurações do sistema e configurações de programas de um ponto de recuperação criado automaticamente. Nem todos os dados podem ser restaurados com este método. Ransomwares modernos podem desabilitar a Restauração do Sistema e excluir ou corromper pontos de recuperação do Windows. Nesse caso, esse método é ineficaz.

Use a ferramenta de descriptografia do ransomware

Se você detectou o tipo e a versão do ransomware, tente encontrar a ferramenta de descriptografia fornecida por pesquisadores de segurança. As ferramentas de descriptografia não estão disponíveis para cada versão de ransomware. Também está cada vez mais raro encontrar uma ferramenta de descriptografia hoje em dia.

Use software para recuperação de arquivos deletados

Se o ransomware não sobrescreveu arquivos no disco e preencheu a superfície do disco com zeros ou dados aleatórios, há uma chance de você poder recuperar alguns dados críticos. A varredura da superfície do disco requer um longo tempo. Os nomes de arquivo após a recuperação podem ser perdidos, e seus nomes podem ser como RECOVER0001.JPG, RECOVER0002.JPG, etc.

Recupere dados de um backup

O principal ponto deste método é que você deve se preparar com antecedência e não esperar até que o ransomware infecte suas máquinas. Se você não criou um backup antes do ataque de ransomware, este método não se aplicará. Você precisa se preparar com antecedência e fazer backup dos dados em intervalos regulares. As melhores práticas de backup recomendam seguir a regra de backup 3-2-1 e armazenar os backups offsite e/ou offline para recuperação de um ataque de ransomware. Você pode usar a nuvem, fita e/ou armazenamento de backup imutável para este fim.

A melhor maneira de criar backups é usar soluções de proteção de dados dedicadas que suportem diferentes tipos de cargas de trabalho e infraestruturas e permitam que você implemente a regra de backup 3-2-1.

Uma dessas soluções é o NAKIVO Backup & Replication. A solução da NAKIVO permite que você aumente o desempenho do backup, garanta a recuperabilidade dos dados e melhore a recuperação de ransomware. A solução suporta proteção de dados para servidores físicos, máquinas virtuais (VMware vSphere, Microsoft Hyper-V, Nutanix AHV), instâncias da Amazon EC2 e Microsoft 365. Com a solução, você pode:

• Realizar backup e replicação incrementais baseados em imagem e conscientes de aplicativos.

• Criar facilmente cópias de backup sem envolver os hosts de origem ou as máquinas virtuais (VMs).Armazenar backups em um site remoto, uma nuvem pública ou fita.

• Armazene backups em um site remoto, na nuvem pública ou em fita.

• Habilite a imutabilidade para repositórios baseados em Linux locais ou na nuvem Amazon S3.

• Escolha entre uma variedade de opções de recuperação flexíveis, incluindo inicialização instantânea de VM, recuperação granular e recuperação P2V de máquinas físicas como VMs VMware vSphere.

• Crie fluxos de trabalho de recuperação de desastres organizando várias ações e condições em uma sequência automatizada.

Quanto tempo leva para se recuperar de um ataque de ransomware?

O tempo necessário para recuperar arquivos criptografados por vírus de ransomware depende da quantidade de dados corrompidos em computadores infectados e do método utilizado para a recuperação de ransomware. Ao estimar o tempo necessário para a recuperação de um ataque de ransomware, estamos nos referindo à recuperação de dados e à volta de todos os sistemas online com cargas de trabalho restauradas.

O tempo para recuperar dados e restaurar cargas de trabalho pode variar de dias a meses. Vamos analisar os principais fatores que afetam o tempo de recuperação.

• A system administrator’s experience. Skilled system administrators usually have multiple disaster recovery plans for different scenarios and know what to do in each situation. You should have a ransomware recovery plan to be prepared for ransomware attacks.

• A recuperação usando uma ferramenta de descriptografia (se você encontrar uma para uma versão específica de ransomware) pode levar muito tempo. Se os nomes de arquivos também foram alterados após a criptografia (como sLc6-fAl26m.nSeB2 em vez de image001.jpg), levaria ainda mais tempo para colocá-los nos diretórios corretos após a recuperação. Você precisa respeitar a estrutura correta de arquivos e diretórios, especialmente se esses arquivos forem necessários para que os aplicativos funcionem.

• Ter um backup de dados reduz o tempo necessário para a recuperação de arquivos e servidores após um ataque de ransomware. A vantagem de recuperar arquivos de um backup após um ataque de ransomware é que você recupera dados estruturados, incluindo nomes de arquivos e pastas com seus caminhos corretos. Você precisa selecionar um backup para a data/hora apropriada e escolher o local de destino para recuperar os dados. Depois, basta esperar até que os dados sejam copiados e recuperados.
  Além disso, soluções de backup como NAKIVO Backup & Replication dependem de tecnologia baseada em imagem para capturar backups de máquinas virtuais e físicas. Isso significa que o backup captura o sistema operacional e outros arquivos associados ao SO, como arquivos de configuração de aplicativos e estado do sistema, ajudando você a economizar tempo na recuperação dos sistemas.

• Testes inadequados de um plano de recuperação de ransomware podem levar a tempos de restauração de dados mais longos do que o esperado. Por esse motivo, sempre tente testar seu plano de recuperação para garantir que você possa recuperar tudo o que precisa no prazo adequado.

Observe que ao criar uma estratégia de recuperação de desastres que inclua um plano de recuperação de ransomware, você deve levar em consideração as métricas RTO e RPO.

Conclusão

A recuperação de ransomware é um processo complexo que inclui a recuperação de dados e a restauração de cargas de trabalho. O custo e o tempo de recuperação de ransomware dependem da quantidade de preparação que é investida na estratégia de backup e recuperação de ataques de ransomware.

A principal abordagem para mitigar problemas causados por ataques de ransomware é seguir medidas preventivas e fazer backup dos dados regularmente. Siga a regra de backup 3-2-1 e use armazenamento de backup imutável e uma solução confiável de proteção de dados que possa automatizar tarefas.