O que fazer em caso de ataque de Ransomware?

A primeira e mais importante recomendação é: NÃO ENTRE EM PÂNICO!
É essencial manter a calma, respirar fundo, avaliar a situação e agir com cautela.
O bom senso é fundamental para superar qualquer crise, inclusive as informáticas.

O que fazer em caso de ataque de Ransomware?

• Desligar os equipamentos afetados: NÃO
• Desconectar da rede informática: SIM
• Desligar os Routers e Switches da empresa: SIM
• Analisar o alcance do dano: SIM
• Extrair amostras e Documentar: SIM
• Plano de contingência: SIM
• Denunciar à Polícia Nacional: SIM
• Notificar a Agência de Proteção de Dados: SIM
• Avaliar se o afetado por Ransomware é importante para desencriptar: SIM
• Contratar uma empresa de desencriptação: SIM

Em caso de Ransomware por que NÃO se devem desligar os equipamentos?

Este é um erro muito comum. Diante do medo e do desconhecimento, o instinto normalmente nos leva a desligar o computador, mas ao fazê-lo vamos deixar danificados os arquivos que estão sendo encriptados naquele exato momento, por isso não é uma boa ideia.

Além disso, porque a chave de encriptação e o programa encriptador estão na memória RAM, se não desligarmos, eles persistem e uma empresa com conhecimento e recursos suficientes, como a LABS 4 Recovery, pode recuperar essa chave de encriptação e gerar um desencriptador com o programa utilizado.

Outro problema que evitamos ao não desligar bruscamente o computador é o dano físico às unidades de armazenamento, que podem ser prejudicadas com cortes de energia repentinos.

Após um ataque de Ransomware deve-se desconectar os computadores da rede informática?

A resposta é SIM, os equipamentos afetados devem ser desconectados fisicamente da rede após um ataque de Ransomware.

Ao desconectar os computadores da rede de dados, o atacante perde o controle do equipamento, os arquivos que estão sendo encriptados não se corrompem e o processo termina corretamente.

A informação fica completa, apenas encriptada, mas não corrompida, permitindo que uma empresa especializada, como a LABS 4 Recovery, recupere os dados encriptados.

Sofri um Ransomware, devo desligar os Routers e Switches da empresa?

Devemos pensar:

• O atacante está fora da empresa?

• Ou suspeitamos que a origem foi interna?

Se a resposta é que está fora da empresa, então SIM, devemos entender que a única forma de conexão é pelo Router da empresa, ou por algum dispositivo via móvel ou Wi-Fi. Para cortar a comunicação, devemos desligar rapidamente o Router e todos os Switches da empresa, sem exceções.

Depois, com o suporte de uma empresa de segurança informática, revisar um a um os elementos da rede e religá-los com cautela.

Como extrair amostras e documentar um caso de Ransomware?

Uma vez que o equipamento tenha sido reiniciado ou o disco rígido extraído para análise em outro computador, o ataque não se propaga mais, pois o atacante não tem acesso ao sistema.

O ideal é trabalhar em um ambiente virtual, mas geralmente, após o reinício ou extração, não restam processos ativos tentando reconectar-se externamente.

Para coleta de amostras:

• Selecionar vários arquivos pequenos de diferentes extensões.

• Empacotá-los junto com a nota de resgate em um arquivo ZIP.

• Enviar via WeTransfer para o e-mail geral da empresa especializada para pré-análise.

Para documentar:

• Fazer um inventário de equipamentos afetados, volume de dados e sua importância.

• Detalhar datas, horários e ações realizadas para a resolução do incidente.

Plano de contingência após um ataque de Ransomware

Depois de acalmar a equipe e todos entenderem a situação atual:

• Avaliar o número de computadores afetados.

• Avaliar a importância dos dados encriptados.

• Identificar quais setores podem trabalhar normalmente.

• Entender quais postos dependem totalmente dos dados afetados.

Com isso, podemos desenhar um plano de contingência para garantir a continuidade do negócio até a recuperação completa.

Ações:

• Reunir e duplicar dados utilizáveis.

• Avisar clientes e fornecedores, transmitindo controle da situação.

• Iniciar o processo de desencriptação com uma empresa especializada, como a LABS 4 Recovery.

Deve-se denunciar à Polícia um ataque de Ransomware?

Sim, é imprescindível para justificar a situação perante clientes e fornecedores, evitar mal-entendidos e possíveis ações legais contra a empresa.

Embora a denúncia não isente de prazos fiscais ou obrigações, pode reduzir multas, permitir adiamentos e servir como justificativa para medidas de emergência, como paralisações parciais.

Além disso, para acionar o seguro de incidentes informáticos, a denúncia é obrigatória.

Deve-se avisar a Agência de Proteção de Dados após um ataque de Ransomware?

Sim, e não fazê-lo acarreta multas pesadas:

• Leves: de 900 a 40.000 €

• Graves: de 40.001 a 300.000 €

• Muito graves: de 300.001 a 600.000 €

O aviso deve ser feito urgentemente, acompanhado da denúncia policial (Polícia Nacional ou Guarda Civil), com o mesmo valor legal.

No nos interesa tener problemas con esta agencia…..

Avaliar se os dados afetados por Ransomware são importantes para desencriptação

Antes de contatar uma empresa especializada como a LABS 4 Recovery, avalie:

• Existem cópias de segurança funcionais?

• É possível trabalhar sem os dados encriptados?

Se a resposta for NÃO para ambas, é essencial calcular o valor econômico dos dados perdidos.
Entre em contato conosco, analisamos o caso e garantimos que nosso orçamento será menor que o prejuízo causado pela perda dos dados.

Desencriptação de Ransomware

Estás a ser vítima de ransomware?

Realizamos um PRÉ-ANÁLISE gratuito e encontramos a melhor solução para ti!