Medidas contra Ransoware

O vírus se propagada muito rápido pela rede, infectando todos os hosts a ela conectados, mas para o vírus se ativar no Windows é necessário que o usuário faça logon, então é necessário que você crie métodos para bloquear essa propagação.

Arquivos, caminhos e hashes

Abaixo, uma tabela com hashes, arquivos e conexões de rede utilizados pelo vírus.

Hashes Arquivos Conexões de rede
8dd63adb68ef053e044a5a2f46e0d2cd mssecsvr.exe gx7ekbenv2riucmf.onion
5bef35496fcbdbe841c82f4d1ab8b7c2 tasksche.exe 57g7spgrzlojinas.onion
775a0631fb8229b2aa3d7621427085ad eee.exe Xxlvbrloxvriy2c5.onion
7bf2b57f2a205768755c07f238fb32cc qeriuwjhrf.dll 76jdd2ir2embyv47.onion
7f7ccaa16fb15eb1c7399d422f8363e8 cwwnhwhlz52maqm7.onion
8495400f199ac77853c53b5a3f278f3e sqjolphimrr7jqw6.onion
84c82835a5d21bbcf75a61706d8ab549
86721e64ffbd69aa6944b9672bcabb6d
b0ad5902366f860f85b892867e5b1e87
d6114ba5f10ad67a4131ab72531f02da
db349b97c37d22f5ea1d1841e3c89eb4
e372d07207b4da75b3434584cd9f3450
f529f4556a5126bba499c26d67892240

Obs: Os arquivos utilizados pelo vírus não podem ser excluídos diretamente, sendo necessário inserir o comando attrib -r -a -s -h *.*  na pasta “Windows”

Dica de como executar o comando → http://www.discoduroderoer.es/comando-attrib-en-windows/

Configuração do ESET

Mantenha o antivírus atualizado!

Download da Configuração do Eset → http://www.autocom3.online/arquivos/—equipe/Configuracao_ESET_03_01_19.zip

Como importar → https://i.imgur.com/V3LV9sa.gifv

Após importar a configuração, atualize o antivírus para que ele aplique todas as configurações.

GPO

Para ambientes controlados por políticas de grupo, desenvolvi um script que será executado toda vez que o usuário fizer logon em uma máquina. O script irá fazer uma varredura para ver se o computador que está solicitando o logon possui algum arquivo da WannaCrypt e excluirá imediatamente, proibindo a propagação pela rede.

ECHO off

cd \windows\

attrib -r -a -s -h *.*

REG DELETE HKEY_LOCAL_MACHINE\SYSTEM\CURRENTCONTROLSET\SERVICES\MSSECSVC2.1 /f

ECHO.

taskkill /F /IM mssecsvr.exe

taskkill /F /IM qeriuwjhrf

taskkill /F /IM tasksche.exe

taskkill /F /IM bfsvc.exe

taskkill /F /IM eee.exe

ECHO.

del C:\Windows\mssecsvr.exe

del C:\Windows\qeriuwjhrf

del C:\Windows\tasksche.exe

del C:\Windows\bfsvc.exe

del C:\Windows\eee.exe

del C:\Windows\teste.txt

Checklist

  1. Mantenha seu Windows atualizado.
  2. Mantenha seu antivírus atualizado.
  3. Utilize os bloqueadores em seus e-mails.
  4. Utilize uma rede simulada em VM’s para acessar a rede do cliente (modo NAT).
  5. Semanalmente crie novas máquinas virtuais (não as clone).
  6. Tenha duas redes distintas (Autocom3 e Autocom3 Convidados).
  7. Notebooks do suporte e telefones ramais na rede principal.
  8. Notebook do comercial, smartphones em geral na rede “Convidados”.
  9. Faça varredura do Windows semanalmente no computador e preencha o relatório → https://goo.gl/forms/wIl2Xgfij0zjygHw1

 

Print Friendly, PDF & Email

Sobre o Autor