Os ataques do ransomware Vice Society levaram a uma atualização do código spooler de impressão do Windows. A porta que o grupo utilizou para os seus ataques ficou conhecida como “PrintNightmare”, a atualização do Windows visou fechar essa porta.
Essa falha estava no sistema de impressão, após falha na execução do Spooler os hackers poderiam acessar o sistema operacional que concedia a eles os mesmos privilégios de um usuário comum, dando a eles acesso total ao sistema.
O ransomware Vice Society visa falhas no sistema operacional do Windows, e se detém a atacar apenas a empresas de pequeno a médio porte.
Esse grupo, similar ao grupo Hive Leaks, executa o ataque em duas fases, a primeira retirando os arquivos sensíveis para empresa para um vazamento futuro e após isso encriptam os dados. O grupo possui um site em que divulgam os arquivos roubados, tais vazamentos atingem diretamente a empresa ante a lei de segurança de dados.
A programação do Vice Society o faz com que ele procure os backups atrelados ao sistema, isso é feito para que não haja possibilidades de restauração dos arquivos sem o pagamento do resgate. Isso mostra a importância de ter rotinas constantes de backups, mas com cópias offline, pois, ainda que o ransomware atinja todos os dados da empresa, haverá uma salvaguarda. O melhor formato de backup é o que chamamos de 3x2x1 (3 cópias, 2 online, 1 offline).
Esse grupo é novo, mas já conseguiu desenvolver um ransomware altamente sofisticado e rápido no tempo de encriptação.
Recuperar dados encriptados por Vice Society ransomware
A recuperação de dados encriptados tornou-se a nossa especialidade, agora somos capazes de recuperar ransomware de praticamente qualquer comprimento. Isto porque desenvolvemos uma tecnologia a que chamamos Tracer, que nos permite recuperar dados em qualquer dispositivo de armazenamento.
Em casos de encriptação, podemos recuperar os dados afectados após uma análise profunda do disco rígido e reconstrução dos dados, sem a necessidade da chave de desencriptação.
Já assistimos a casos em que todos os backups da empresa foram encriptados ou alterados com o ataque, mesmo com este cenário conseguimos recuperar os ficheiros e assim restabelecer o funcionamento da empresa.
Todos os nossos processos estão em conformidade com a General Data Protection Regulation (GDPR).
Ao longo do processo, o cliente estará em contacto directo com os nossos peritos que, através de feedbacks constantes, permitem ao cliente tomar conhecimento de todos os processos adoptados para recuperar os dados, e após a recuperação o cliente pode validar que todos os ficheiros foram recuperados e estão todos disponíveis.
Se não for possível enviar o dispositivo para o nosso laboratório, podemos recuperá-lo remotamente. Validar esta possibilidade com os nossos especialistas.
Todos os nossos serviços são confidenciais, para garantir isto, assinámos um acordo de não divulgação (NDA).
Os nossos processos são personalizados de modo a podermos satisfazer as necessidades reais de cada cliente.