Os ataques do ransomware Vice Society levaram a uma atualização do código spooler de impressão do Windows. A porta que o grupo utilizou para os seus ataques ficou conhecida como “PrintNightmare”, a atualização do Windows visou fechar essa porta.
Essa falha estava no sistema de impressão, após falha na execução do Spooler os hackers poderiam acessar o sistema operacional que concedia a eles os mesmos privilégios de um usuário comum, dando a eles acesso total ao sistema.
O ransomware Vice Society visa falhas no sistema operacional do Windows, e se detém a atacar apenas a empresas de pequeno a médio porte.
Esse grupo, similar ao grupo Hive Leaks, executa o ataque em duas fases, a primeira retirando os arquivos sensíveis para empresa para um vazamento futuro e após isso encriptam os dados. O grupo possui um site em que divulgam os arquivos roubados, tais vazamentos atingem diretamente a empresa ante a lei de segurança de dados.
A programação do Vice Society o faz com que ele procure os backups atrelados ao sistema, isso é feito para que não haja possibilidades de restauração dos arquivos sem o pagamento do resgate. Isso mostra a importância de ter rotinas constantes de backups, mas com cópias offline, pois, ainda que o ransomware atinja todos os dados da empresa, haverá uma salvaguarda. O melhor formato de backup é o que chamamos de 3x2x1 (3 cópias, 2 online, 1 offline).
Esse grupo é novo, mas já conseguiu desenvolver um ransomware altamente sofisticado e rápido no tempo de encriptação.
Recuperar dados encriptados por ransomware Vice Society
A recuperação de dados encriptados se tornou a nossa especialidade, hoje somos capazes de recuperar ransomware de praticamente qualquer extensão. Isso porque desenvolvemos uma tecnologia que chamamos de Tracer, ela nos capacita a recuperar dados em qualquer dispositivo de armazenamento.
Nos casos de encriptação podemos recuperar os dados afetados após uma profunda análise no disco rígido e a reconstrução dos dados, sem a necessidade da chave de descriptografia.
Já atendemos casos em que todos os backups da empresa foram encriptados ou alterados com o ataque, mesmo com esse cenário nós conseguimos recuperar os arquivos podendo assim restabelecer o funcionamento da empresa.
Todos os nossos processos estão de acordo com a LGPD (Lei Geral de Proteção de Dados).
Em todo o processo o cliente estará em contato direto com os nossos especialistas que através dos feedbacks constantes deixaram o cliente ciente de todos os processos adotados para recuperar os dados, e após a recuperação o cliente poderá validar se todos os arquivos foram recuperados e se estão todos disponíveis.
Caso não seja possível o envio do dispositivo para o nosso laboratório, podemos fazer a recuperação remotamente. Valide essa possibilidade com os nossos especialistas.
Todos os nossos atendimentos são confidenciais, para garantir isso, firmamos o acordo de não divulgação (NDA).
Os nossos processos são personalizados para que possamos atender a necessidade real de cada cliente.