Os ataques de resgate da Vice Society levaram a uma actualização do código do spooler de impressão do Windows. A porta que o grupo utilizou para os seus ataques ficou conhecida como “PrintNightmare“, a actualização do Windows visava fechar esta porta.
Esta falha estava no sistema de impressão, depois de não terem executado o Spooler os hackers podiam aceder ao sistema operativo que lhes concedia os mesmos privilégios que um utilizador regular, dando-lhes acesso total ao sistema.
O sistema operativo Windows tem como alvo as falhas do sistema de resgate da Vice Society, e pára de atacar apenas pequenas e médias empresas.
Este grupo, semelhante ao grupo Hive Leaks, executa o ataque em duas fases, a primeira retirando ficheiros sensíveis para a empresa para futuras fugas e depois encriptando os dados. O grupo tem um website onde revela os ficheiros roubados, tais fugas afectam directamente a empresa ao abrigo da lei de segurança de dados.
A programação da Vice Society faz com que esta procure os backups ligados ao sistema, isto é feito para que não haja possibilidade de restaurar os ficheiros sem o pagamento do resgate. Isto mostra a importância de ter rotinas de backup constantes, mas com cópias offline, porque mesmo que o resgate atinja todos os dados da empresa, haverá uma salvaguarda. O melhor formato de backup é o que chamamos 3x2x1 (3 cópias, 2 online, 1 offline).
Este grupo é novo mas já conseguiu desenvolver ransomware altamente sofisticado que é rápido em tempo de encriptação.
A recuperação de dados encriptados tornou-se a nossa especialidade, agora somos capazes de recuperar resgates de praticamente qualquer comprimento. Isto porque desenvolvemos uma tecnologia a que chamamos Tracer, que nos permite recuperar dados em qualquer dispositivo de armazenamento.
Em casos de encriptação, podemos recuperar os dados afectados após uma análise profunda do disco rígido e reconstrução dos dados, sem a necessidade da chave de desencriptação.
Já assistimos a casos em que todos os backups da empresa foram encriptados ou alterados com o ataque, mesmo com este cenário conseguimos recuperar os ficheiros e assim restabelecer o funcionamento da empresa.
Todos os nossos processos estão em conformidade com a LGPD (Lei Geral de Protecção de Dados).
Ao longo do processo, o cliente estará em contacto directo com os nossos peritos que, através de feedbacks constantes, permitem ao cliente tomar conhecimento de todos os processos adoptados para recuperar os dados, e após a recuperação o cliente pode validar que todos os ficheiros foram recuperados e estão todos disponíveis.
Se não for possível enviar o dispositivo para o nosso laboratório, podemos recuperá-lo remotamente. Validar esta possibilidade com os nossos especialistas.
Todos os nossos serviços são confidenciais, para garantir isto, assinámos um acordo de não divulgação (NDA).
Os nossos processos são personalizados de modo a podermos satisfazer as necessidades reais de cada cliente.
Todos os dias, os ataques de resgate ficam cada vez melhores. Após uma tentativa de ataque bem sucedida, o ransomware mapeia rapidamente os ficheiros mais importantes do utilizador para iniciar a encriptação. Os ficheiros Microsoft Office, bases de dados, PDFs e design estão entre os seus principais alvos.
O Ransomware foi concebido para ser imperceptível, pelo que pode desactivar todas as defesas do sistema sem ser notado e iniciar o processo de encriptação dos ficheiros. Embora o ransomware possa passar despercebido pelo sistema, ainda pode ser notado pelo utilizador, porque o ransomware utiliza os próprios recursos do sistema para fazer a encriptação, isto pode atrasar o sistema. O ransomware também altera as extensões dos ficheiros. Portanto, esteja atento a estes sinais: Abrandamento do sistema e extensões a serem adicionadas aos ficheiros.
Para saber mais, fale com os nossos especialistas.
Sim, é possível. Pode reiniciar o computador em modo seguro, o que limitará a acção do resgate, uma vez que os recursos do sistema ficarão bloqueados. Também pode desligar o computador da Internet, o que pode interromper a ligação dos hackers ao seu sistema, vale a pena lembrar que existe um programa de resgate que funciona mesmo sem estar ligado à Internet. Também pode iniciar o diagnóstico para identificar ameaças com o seu antivírus, a grande maioria dos antivírus tem esta função.
Mas há casos em que a encriptação foi interrompida pelo utilizador, alguns ficheiros já tinham sido afectados e isto causou um erro na encriptação e mesmo os hackers não conseguiram restaurar os ficheiros, mesmo com a chave de desencriptação. Nestes casos, apenas uma empresa de recuperação de dados, tal como a Digital Recovery, pode recuperar os ficheiros.
Para saber mais, fale com os nossos especialistas.
Sim, os ataques acontecem geralmente principalmente nos feriados e fins de semana durante as primeiras horas da manhã. Estes dias são escolhidos porque não há muitos utilizadores activos no sistema, o que impede que o ataque seja descoberto antes de a encriptação estar concluída.
Para saber mais, fale com os nossos especialistas.
A grande maioria dos resgates usa encriptação RSA [Rivest-Shamir-Adleman]-2048 e AES [Advanced Encryption Standard].
Para saber mais, fale com os nossos especialistas.
Antes de mais, não pagar o resgate. Não importa o que os hackers digam, não há garantia de que a chave de decifração seja efectivamente libertada após o pagamento do resgate.
A primeira coisa a fazer é informar as autoridades sobre o ataque, os governos têm departamentos especializados em cibercrimes que investigarão o ataque. Depois disso, verifique se as suas cópias de segurança foram afectadas, se foram, apenas uma empresa especializada na recuperação de dados pode recuperar os seus ficheiros, este é o passo seguinte. Contacte a Digital Recovery, que o ajudará na recuperação completa dos seus ficheiros.
Para saber mais, fale com os nossos especialistas.
Após o primeiro contacto e envio dos meios de comunicação afectados, diagnosticaremos o dispositivo para verificar a extensão dos danos causados pelo resgate, com isto podemos projectar a duração do processo, e fornecer o orçamento ao cliente. Após o orçamento ser aprovado pelo cliente, iniciamos o processo de recuperação, para isso dispomos de software exclusivo que pode, com a ajuda dos nossos especialistas, reconstruir os dados.
Se o cliente optar pela recuperação remota, em vez de nos enviar os suportes, enviará os ficheiros encriptados para um ambiente virtual, que é totalmente seguro, para que possamos aceder aos mesmos.
Após o fim do processo, faremos uma dupla verificação para que o cliente possa verificar a integridade dos ficheiros recuperados.
O pagamento só é efectuado após a entrega dos ficheiros e a validação dos mesmos pelo cliente.
Para saber mais, fale com os nossos especialistas.
Saiba mais sobre recuperação de dados e inovações tecnológicas.
