Ataques ransomware

cainf
(usa Debian)

Enviado em 20/04/2020 - 23:23h

Salve a todos

Hoje tive um ataque de ransomware, por sorte percebi na hora que os arquivos estavam sendo alterados entao rapidamente parei o servidor samba

Pergunto é possível criar uma rotina onde se houver uma mudança repentina nos arquivos o servidor identificar que esta havendo varias mudanças e parar o servidor samba ??

Grato

Henrique-RJ
(usa Outra)

Enviado em 22/04/2020 - 04:31h

Certamente deve ter algum Windows aí nessa tua rede pois ransomware até onde sei não costuma atacar sistemas Linux ( Unix ???? sei lá ... complicado ).

Imagino que você estivesse usando Windows e por ele tu baixou esse tal e o executou e lógico que passou pelo teu servidor.

Talvez tenha o java ou o Wine instalado aí caso não use Windows que podem sim, acredito, executar esse tipo de malware/virus.

Tenta criar uma pasta com direitos administrativos restritos e joga a documentação dentro dela e então faz um teste tentando renomear qualquer um desses documentos ou imagens ou vídeos pra ver se tu consegue só como teste.

E não deixe de ter backup/cópia dessa documentação ou de todo o sistema pois não são só vírus que podem causar problemas.

Isso é o que eu imagino aí no teu caso mas sem garantia pois são coisas muito complexas essas da área de segurança em TI.

aguamole
(usa KUbuntu)

Enviado em 22/04/2020 - 09:51h

Verdade definir permissão restritiva aos arquivo vai impedir as criptografias.
Para passar pelas permissão o ransomware teria que atacar o kernel ou obter root então só atualizar o kernel para corrigir bugs e ficar tranquilo.
As permissão é definida no filesystem.

CPU i5-8400 GTX 750 SofRaid 4xSSD 16GB DDR4 mesmo assim uso Lubuntu.

l0g1in
(usa FreeBSD)

Enviado em 22/04/2020 - 10:50h

Parar o Samba acho complicado, aqui já pegamos umas três vezes, mas uma coisa que percebi é que se Mapear a Unidade de Rede do Servidor de Arquivos na estação Windows ai ele pula para dentro do compartilhamento tipo F:\\Servidor\Arquivos o que eu fiz coloquei os atalhos no desktop ai ele criptografa só os atalhos que estão no Desktop. Mas vira e mexi tem que formatar a máquina por alguém pega esse virus e fo*&¨*¨()_¨% com tudo.

StanislausK
(usa FreeBSD)

Enviado em 22/04/2020 - 11:55h

Ola,

leia:

B0r0nt0K Ransomware Threatens Linux Servers
https://linuxinsider.com/story/b0r0nt0k-ransomware-threatens-linux-servers-85870.html

"Victims definitely should not pay the ransom. Instead, Hahad suggests the following: Restore the site from source control or backups; Change all admin passwords; Audit the software stack for known vulnerabilities that could have allowed the attacker in, and patch as appropriate; Audit the site’s configuration for any weak spots; Disable services that are not critical, and close those open ports; Ensure backups are operational; and Conduct a penetration test of the Internet-facing network footprint."


Definitive Guide For Preventing and Detecting Ransomware
https://phoenixnap.com/blog/preventing-detecting-ransomware-attacks
(focado no Windows, mas serve também para o Linux)

"always backup your system. Locally, and offsite" (...) "a ransomware attack can be traced back to poor employee cybersecurity practices" (...) "best practices of password security" (...) "Malware often takes advantage of security loopholes and bugs within operating systems or software. This is why it is essential to install the latest updates and patches on your computers and mobile devices"

Henrique-RJ
(usa Outra)

Enviado em 22/04/2020 - 15:42h

Esse ransomware já deve estar instalado nesses Windows que vocês têm e deve ter se espalhado pela rede de vocês onde houver Windows. Qualquer documento que for criado provavelmente ele será criptografado. Já tentou fazer esses documentos apenas em Linux usando o LibreOffice por exemplo ? Mas não ponha esses documentos em pendrive e depois vá espetar nesses Windows pois devem estar infectados.

Para remover esse ransomware desses Windows só usando uma ferramenta de remoção que conheça essa " cepa " e isso pode levar alguns dias ou não. Tem esta aqui que talvez tenha limitações de uso por versão gratuita para negócios https://www.kaspersky.com/anti-ransomware-tool ... mas existem outras que deve ficar sabendo no fórum deste site https://www.bleepingcomputer.com/forums/ se perguntar por lá em inglês.