Sequestraram meus dados! E agora?

Imagine o quão desesperador é o caso seguinte:
O gerente de TI da empresa Acme Corp recebe algumas notificações de colaboradores informando que não está conseguindo acessar os arquivos e que eles estão “estranhos”. Quem conhece as caraterísticas de ransoware e sabe que uma delas é alterar a extensão dos arquivos, já sente aquele “friozinho na barriga”. Como um raio, nosso herói da TI realiza acessa os servidores e, para seu desespero, o pesadelo se confirma: sim, os dados foram sequestrados!

O que hoje chamamos de sequestro de dados, na verdade é malware conhecido como ransoware, que criptografa os dados e o autor do ataque exige um valor de resgate para liberar a chave que viabilizará o acesso aos arquivos novamente.

Se você está passando por isso nesse momento, pode estar em uma situação delicada por duas razões: a primeira e mais ostensiva é a indisponibilidade do serviço. No caso ilustrado cima, o serviço infectado é um servidor de arquivos. A depender da sua importância em relação ao negócio, grandes prejuízos (incluindo financeiros) podem surgir em decorrência da indisponibilidade do serviço. A segunda razão está relacionada a reputação. Seus clientes e colaboradores passam a achar que devido à infecção, seus dados pessoais estão comprometidos e serão usados para fins obscuros como compras, transações ilegais, comercializados no mercado paralelo, dentre outras temeridades. Pense que os donos dos dados sequestrados, sejam eles funcionários ou clientes, não são especialistas em tecnologia, e isso aumenta ainda mais a percepção que eles tem de insegurança pois não fazem idéia do que pode acontecer com os dados sequestrados.

Mas nem tudo está perdido! Até o momento falamos dos malefícios do ransomware e como essa praga virtual atua em linhas gerais. Agora vamos para o outro lado e falar das possibilidades recuperação dos dados. A primeira abordagem a ser considerada é restauração do backup mais recente. Caso você possua uma politica de backup bem planejada com checagens diárias e testes periódicos de restauração, pode ficar mais tranquilo. Nessa situação você tem a garantia que os dados não foram completamente perdidos. Talvez não seja possível recuperar algum dado que foi gerado ou modificado no intervalo de tempo do último backup e o incidente do ransomware.

Você não tem backup? Humm… A coisa está começando a ficar mais séria…

Ainda há esperança de recuperar os arquivos sem a necessidade de pagar pelo resgate. A segunda abordagem recomendada é reverter a criptografia à qual seus arquivos foram submetidos. Devido ao grande potencial de dano desse tipo de ameaça, há uma diversidade empresas que atuam no desenvolvimento de soluções contra elas, que dedicam esforços e disponibilizam ferramentas gratuitas para descriptografar arquivos infectados por essas pragas. Pesquise na internet para saber se já existe solução para o tipo de ransomware infectou seu ambiente. Pesquise termos como “Ransomware Decryptors List” no Google e você deverá achar o que está procurando.

Tendo sucesso ou não, é muito importante avaliar as possíveis brechas que permitiram que sua rede fosse infectada. Parece clichê mas faz muita diferença manter um simples checklist de cuidados básicos com a segurança.

  • Manter os sistemas operacionais, antivírus e outras aplicações atualizadas;
  • Evitar acesso externo aos servidores através de ferramentas de acesso remoto (para citar algumas conhecidas como Putty, Windows Termina Services, VNC, Team Viewer dezenas de outras). Elas em si não são necessariamente o problema. Algumas implementam bons recursos de segurança. O problema maior está em expor o servidor ou serviço, diretamente ou por redirecionamento, na internet.
  • Se for necessário o acesso externo, opte por uma boa VPN.
  • Limite os acessos aos recursos ao menor número de usuários possíveis e com as permissões mais restritivas possíveis. Essa medida também restringe o escopo e a velocidade com que uma praga digital se espalha pela sua rede.

Pode ser algo trabalhoso e, às vezes, bastante técnico. Mas tenha em mente que os benefícios de trabalho preventivo aqui excede em muito os potencias malefícios de um incidente de segurança. Um ataque bem sucedido em seu ambiente pode causar um dano irreparável. Pense nisso.

Gilvan Cordeiro
Compartilhe: