Artigo de Especialização em Segurança da Informação Comentado

Prévia do material em texto

�PAGE \* MERGEFORMAT�1�
Motivação de ataques de ransomware em hospitais e como se defender�
Andrews Franco�
RESUMO
O ransomware já é considerado um dos vírus de computadores mais prejudiciais da internet, tornando um alto risco para diversos setores ao redor do mundo, como por exemplo educação, saúde, governo, varejo, finanças entre outros segmentos. Estes programas maliciosos que chegam tanto por e-mail e/ou mensagens instantâneas não são exatamente uma novidade. Mas qual é o real significado do ransomware? Ele vem da fusão da palavra “ransom” que significa resgate e o “software” que significa programa. É um programa malicioso, uma vez instalado em um computador, criptografa todas as informações armazenadas no disco rígido e exige o pagamento de um resgate ao dono dessas informações para não as destrui-las. A forma de pagamento desse resgate é através de bitcons, uma moeda virtual que é de difícil rastreamento, tornando quase impossível encontrar o criminoso. Esta forma utiliza de uma carteira de bitcons�, onde se transfere dinheiro para outra pessoa por meio desse sistema, nenhum dado pessoal é compartilhado ou informações a respeito da transação sobrevivem para que sejam investigadas pela polícia. Este artigo tem como finalidade trazer estudos sobre como minimizar ao máximo os riscos de ataques de ransomware no setor de saúde e como aplicar as melhores práticas de segurança.
Palavras-chave: Ransomware. Setores de risco. Bitcoins. Segurança digital.
1 A evolução dos cibercrimes mais ameaçadores da atualidade
Em 1989 um cientista �distribuiu disquetes que bloqueavam computadores, e logo após solicitou dinheiro pela senha de desbloqueio. Já em 1996 foi criado o primeiro ataque de sequestro de dados com uso de criptografia, modelo mais popular. 2009 �o bitcoin tornou-se popular em 2014 e vira meio de cobrança preferidos dos bandidos, mesmo ano em que à família cryptowall começa a causar grandes estragos. Sendo assim, são criadas formas de ataques cada vez mais sofisticados. 
1.1 O problema chamado ransomware
Os valores pagos nas transações de resgate de dados sequestrados por ransomwares já chegaram a 3 bilhões em 2016. O número de e-mails com anexos que continham arquivos de ransomware dobrou a cada trimestre, segundo o levantamento da IBM. Onde o brasil se concentra, 92,3% dos ataques de ransomware na américa latina, conforme dados da Kasperky. Já se tem informações que em 2017 será o ano dos ataques de ransomware, onde se tem previsão de transações em torno de 5 bilhões, de acordo com informações da RSA conference 2017.
“O ransomware cresceu e se tornou o fenômeno que é, atualmente, por dar ótimo retorno financeiro com baixo risco para o criminoso”, diz Candid Wueest, palestrante na RSA. “Outras fraudes pressupõem a transferência de dinheiro entre contas correntes, por exemplo, o que deixa rastros”, diz Wueest. �Como o ransomware funciona com as chamadas “criptomoedas”, assim como o bitcoin, que ganhou popularidade nos últimos cinco anos por ser quase impossível de rastrear, o criminoso se blinda na hora de cobrar e receber o resgate pelos dados que sequestrou.
1.2 Tendências de ataques de ransomware
As famílias de ransomware que foram detectadas, com grande impacto nos relatórios de levantamentos feitos pelas empresas de segurança da informação kaspersky e Symantec, foram os seguintes ataques: Teslacrypt, CTB-Locker e Cryptowall.
	1.2.1 TeslaCrypt 
	O Telascrypt faz parte de um grupo recentemente descoberto de ransomware, detectado pela primeira vez em fevereiro de 2015. Chamou atenção por ser um malware que além de atacar arquivos comuns, como documentos, imagens e vídeos, também atinge arquivos relacionados a jogos. Durante o processo de criptografia, o malware armazenado em um arquivo no disco rígido do computador da vítima tentava salvar as senhas e bloquear os arquivos, mas era considerado inicialmente um malware fraco. Com o passar do tempo, os criadores do malware tem implementado novos recursos que impedem a descriptografia dos arquivos roubados e a localização dos servidores de comando e controle de malware. A primeira mudança adotada foi o uso do algoritmo de criptografia de cursa elíptica do famoso ransomware CTB-Locker. A segunda mudança é a mudança do método de storagin e agora o registro do sistema é usado, ao invés de um arquivo do disco. A forma de distribuição deste ransomware funciona usando Kits Exploit, como o Angler, Sweet Orange e Nuclear. Este método de distribuição de malware funciona da seguinte forma: A vítima visita um site infectado, o Exploit malicioso usa as vulnerabilidades dos browsers, normalmente, e utiliza os plugins para instalar o malware no sistema.
1.2.2 CTB-Locker 
	É um tipo de ransomware utilizado as redes anônimas do Tor Project para se proteger de especialistas em segurança e aceitavam apenas pagamentos irrastreáveis em Bitcoins. O CTB-Locker tem como alvo apenas servidores web. Onde é criptografado dados hospedados no servidor. Sem esses arquivos, um site não existe. Criminosos podem chegar a pedir 150 dólares (0,4 bitcoins) como resgate. Se a vítima não paga no tempo determinado, o preço é dobrado. Os criminosos mudam a página inicial do site hackeado, deixando uma mensagem que explica como e quando o dinheiro deve ser transferido. O CTB-Locker é um verdadeiro tormento na Internet, já que não existe uma ferramenta de desbloqueio que possa ajudar as vítimas. A única forma de conseguir os arquivos criptografados de volta rapidamente é pagando o resgate.
1.2.3 Cryptowall 4.0 
	Este tipo de ransomware explora uma variedade de vulnerabilidades, podendo ultrapassar sistemas de segurança aplicáveis atualmente ao combate deste tipo de malware. Eu� possuí um sistema dropper que basicamente auxilia a instalação do malware em fases, dificultando a detecção de antivírus ou detectores de comportamento. Este ransomware aproveita de uma modificação de protocolo que ajuda a dar um bypass fácil em várias soluções de Firewall corporativos. Além de ter um algoritmo mais trabalhado, altera o nome dos documentos afetados e seu próprio conteúdo, isso sim torna as vezes impossível a recuperação. Ele aproveita de Bot Nets para disseminação e está empregando uma grande infecção em páginas web confiáveis para poder se disseminar. O código infecta de forma inteligente bancos de dados, ficando dormente por um tempo afim de obter o escalonamento da infecção para o sistema de backup e ameaça a exposição do conteúdo publicamente caso a quantia solicitada não for paga.
1.3. Os setores com mais ataques de ransomware no brasil 
	Entre os segmentos com mais elevado risco de ataques de ransomware. São educação, governo, varejo e saúde. O setor da educação é o mais visado pelos especialistas, onde as universidades foram os mais afetados no brasil. O ransomware voltado para empresas já uma tendência que vem se estabelecendo como sendo mais lucrativo para hackers. Com dados sensíveis para o negócio, empresários acabam cedendo as investidas de golpistas e pagando resgate em bitcoins para obter de volta planilhas, documentos, contratos dentre outros arquivos essências ao negócio. Conforme dados levantados pela Trend Micro na América Latina com 500 empresas de médio e grande porte via questionário de identificação de riscos, sendo 300 corporações do brasil e outras 200 de outros países de região, mais da metade das brasileiras pesquisadas 51% disseram ter sido vítima de um ataque, sendo que 56% não contavam com a tecnologia adequada para monitoramento e detecção de comportamento suspeito na sua rede. Outros 54% responderam não possuir recursos para detectar métodos usados por hackers neste tipo de golpe. Os cinco setores mais afetados no brasil e seus motivos.�
1.3.1 Educação
	O maior motivo dos ataques a este tipo de segmento é os arquivos de contrato do negócio. Tornado inviável manter o serviço em funcionamento e também por haver um grande comprometimento com os documentos dos seus clientes, quais sejam os alunos das universidades,por exemplo. Este tipo de setor é visto como vantajoso pelos criminosos, que possui grande percentual de retorno de ganhos em cima deste segmento.
1.3.2 Governo
	O motivo e causa de maior risco é o acesso de criminosos a arquivos e documentos públicos destinador ao governo, como novos planos de negócios e novos aliados comerciais entre outras situações�. Em um exemplo do governo dos EUA o ataque de ransomware fez com que os criminosos tivessem acesso a localização dos misseis e informações de segredo de governo, tornando um alto risco para o pais.
1.3.3 Saúde
	É considerado o setor de maior risco por envolver a vida de terceiros, tornando uma situação delicada�. Tomamos como exemplo os sistemas hospitalares que utilizam de prontuários com toda evolução de doenças de seus pacientes. Em um caso onde um funcionário clicou em um link malicioso e infectou o servidor, em pouco tempo os sequestradores obterão as informações de 250 pacientes e com isso, em menos de 24 horas, o hospital se viu obrigado a realizar o pagamento.
1.3.4 Industria
	Os motivos para este tipo de infecção são as interfaces entre as redes corporativas e industriais, a disponibilidade de acesso limitado à internet nas redes industriais e a conexão de computadores das redes industriais à internet através de redes de operadoras de celular. Além disso, infecções por malware podem acontecer também por meio de mídia removível, como pendrive e HD externos.
1.3.5 Serviços
	O maior motivo dos ataques neste segmento é o grande fluxo de passageiros, onde é quase impossível parar o atendimento, tendo a necessidade de liberar o acesso geral para todos os passageiros. Houve um caso na cidade de San Franscisco na Califórnia, onde a mesma ficou parada após um ataque de ransomware. Os criminosos pediram 73 mil dólares para liberar o sistema que controla o acesso aos trens e a parte dos ônibus da cidade. Não havendo cobrança de passagens por dois dias. No terceiro dia a companhia optou por pagar o resgate para evitar prejuízo maior.
1.4. Por que o setor da saúde é o mais atraente para ataques de ransomware 
Com sistemas cada vez mais informatizados, hospitais precisarão melhorar suas defesas digitais ou poderão expor seus pacientes a riscos severos, que podem levá-los a morte. Ataques a equipamentos essenciais podem paralisar atendimento de emergência, adulterar exames e induzir médicos a erros ou mesmo impedir que pacientes sejam medicados, o que pode vitimar aqueles que já estão em situação crítica. Equipamentos digitais implantados em pacientes também oferecem riscos. Em geral, o paciente nem fica sabendo do ocorrido, pois o hospital ou a clínica apressa-se a pagar o resgate para preservar tanto a reputação do paciente como a sua própria imagem no mercado de prestadores de serviços de saúde.
1.4.1. O prospero mercado negro �de dados de saúde 
	Os dados sobre o estado de saúde das pessoas são muito valiosos para os hackers, uma vez que eles podem vendê-los por alto preço no mercado negro. Nos EUA por exemplo, cada cadastro de paciente é vendido por mais de R$ 150,00. Isso é um alto valor, se compararmos essa marca com o que se paga por dados de um cartão de crédito pessoal – cerca de R$ 3,00. O objetivo dos hackers é ganhar muito dinheiro, realizando grandes violações em que ameaçam expor ou vender os dados de milhões de pessoas.
1.4.2. Fraudes contra as seguradoras geram riquezas aos criminosos 
	Isso não significa, no entanto, que os ciber criminosos só querem os dados para poder vendê-los. Os criminosos podem, também, usar os registros médicos para acionar de forma fraudulenta as seguradoras e sistemas de saúde governamentais. Eles podem roubar identidades de pacientes para, por exemplo, obter consultas ou tratamento gratuitos ou, ainda, acesso a receitas de medicamentos controlados.
1.5. Índices de aspectos de riscos sobre ataques de ransomware 
	Atualmente, muitas empresas são impactadas drasticamente com a onda massiva e mundial de ataques ransomware, pesquisas apontam que uma porcentagem significativa de empresas encerra suas atividades após um incidente deste. Com isto listamos cinco tópicos que irão tornar a sua empresa um pouco mais segura.�
Possuir sistema operacional (S.O) original e mantê-lo sempre atualizado, incluindo os servidores. 
Implementar política de segurança da informação (PSI) e campanhas de conscientização para todos os funcionários.
Reestruturar/revisar tecnicamente o ambiente tecnológico.
Analisar e redesenhar a estrutura de contingência tecnológica – Plano de Continuidade de Negócios (PCN).
Quais Planos de Mitigação de Risco (PMR) a empresa possui? Estão alinhados com o Sistema de Gestão de Continuidade de Negócio (SGCN) da empresa?
O tema é complexo e exige uma análise de cada empresa/cenário, e também é necessário entender o risco da alta administração, já que serão eles os responsáveis por direcionar o nível de maturidade das áreas de TI e segurança da informação.
2. Como é adquirido um software malicioso no mercado negro 
	Uma das formas para adquirir um software malicio é através vendedores de malware em fóruns subterrâneos da internet. Existe uma tendência particularmente preocupante em que os hackers amadores com pouco conhecimento técnico podem comprar acesso a eles e, em troca, recebem todo um conjunto de ferramentas baseadas na web para desenvolver seus próprios ataques de ransomware, onde é oferecida uma interface de painel de controle fácil de usar. Os compradores podem modificar o ransomware e ver as máquinas que ele já infectou. Para espalhar o ransomware, os hackers enviam frequentemente e-mails de spam, com um anexo ou link para um site que contém código malicioso. A taxa de US$ 175 é o único pagamento adiantado. Os cibercriminosos têm usado o "Hidden Tear", um projeto open source para ransomware, disponível para compra por qualquer pessoa.
2.1 Etapas para sequestro de dados 
Em níveis básicos, o processo percorrido por um ransomware segue o seguinte fluxo, onde o cibercriminoso invade um computador e copia os dados para um servidor externo protegido por criptografia, deixando, os arquivos da vítima inacessíveis. Eles podem ser vistos, mas o computador não consegue abrir as extensões. Neste momento, os criminosos exigem um resgate para enviar o código que desbloqueia os arquivos. Como resultado, a vítima perde o acesso aos arquivos e à confidencialidade, possibilitando que as informações sejam vazadas. Ela pode ser qualquer pessoa, desde empresas de diferentes portes em diversos setores até consumidores.
Para entender melhor como funciona uma invasão ransomware, listei 6 etapas.
2.2. Etapa de distribuição 
A forma mais comum de distribuição de malwares é o phishing. Geralmente pautado em engenharia social, onde o criminoso busca identificar páginas ou informações que possam levar a vítima a acessar o link fraudulento, anexo de e-mail ou arquivo para download que contém a infecção. Ela não acontece apenas por e-mail, existem diversos anúncios em websites, softwares e apps para baixar e, em casos mais extremos, pen drives que os criminosos deixam em lugares estratégicos ou levam até empresas com alguma desculpa para que alguém abra. Ainda que muito conhecida, a técnica é eficiente por utilizar como brecha a curiosidade das pessoas. 
2.3. Etapa de infecção
A partir do momento que o arquivo ou link infectado é acessado, o binário que carrega o malware se insere no computador, iniciando os processos exigidos para que as atividades maliciosas sejam completadas. Esta é a etapa que varia de acordo com o malware executado, variando entre ocorrer no momento de atualizar ou desligar a máquina, ao abrir um programa específico no computador ou em outras circunstâncias. É a partir dessa ação que o código entra em atividade, desativando cópias e sistemas de reparação e recuperação de erro, programas de defesa e outros.
2.3. Etapa de pesquisa de arquivos
Uma vez ativo, o malware começa a se comunicar com os servidores de chave de criptografia, obtendo a chavepública que permite que os dados da vítima sejam criptografados. É nestes servidores que os códigos para alterar os arquivos estão guardados. Eles começam a trabalhar a partir do momento em que o malware é conectado.
2.4. Etapa de comunicação
O ransomware faz uma varredura sistemática no computador da vítima em busca de arquivos de sistema específicos, que sejam importantes para o usuário e que não possam ser replicados facilmente.
2.5. Etapa de criptografia
É nesta etapa que o processo de mover e renomear os arquivos identificados na etapa anterior acontece, embaralhando as informações para que o sistema da máquina do usuário não consiga mais oferecer acesso ao usuário, de forma que passa a ser necessário, para a recuperação, descriptografá-los.
2.6. Etapa do pedido de resgate
Geralmente, o que acontece é que um aviso aparecer na tela do computador infectado da vítima. É onde o hacker avisa que sequestrou os dados e que só vai devolvê-los se o usuário fizer o pagamento do resgate. Uma vez que o pagamento é efetuado e verificado, o cibercriminoso envia à vítima a chave de criptografa capaz de desbloquear a máquina.
2.2. Principais motivos que impedem que a justiça seja feita aos hackers. 
2.2.1. Identificação por IP mascarado 
Os hackers responsáveis por ataques ransomware são capazes de alterar seu IP, ou sua localização, confundindo as autoridades e tornando quase impossível localizar de onde as mensagens pedindo resgate foram enviadas.
2.2.2. Identificação por formas de pagamento 
	Resgates de ataques ransomwares são pedidos em bitcoins, uma moeda virtual, o que torna o rastreamento do destinatário do pagamento mais difícil. É pela aparente simplicidade dos ataques e pela grande dificuldade de encontrar e punir os criminosos e dependendo da empresa tem casos que já se tem reservas de bitcoins para eventuais situações de ataque. Diminuindo o tempo de resgate dos dados sequestrados. 
2.3. Descoberta de criminosos via carteira de biticoins 
O detalhe da lavagem de dinheiro por meio do mixing é apontado como fundamental pelos especialistas para que os criminosos consigam driblar qualquer esforço de investigação por parte das autoridades. Sem esse cuidado, pode ser possível isolar a identidade de um criminoso quando ele converte o Bitcoin em dinheiro convencional para fazer saques. Isso ocorre porque, em geral, o procedimento envolve o uso de serviços bancários e abre espaço para que autoridades tenham acesso a registros das transações, desde que saibam onde devem procurar. A ideia de onde procurar pode ser obtida por um número de IP usado pelo hacker por trás de uma das carteiras, por exemplo. Entretanto, atualmente, não há nenhum mecanismo realmente confiável para que autoridades investiguem as transações feitas com moedas virtuais.
2.4. Os principais meios de contaminação do ransomware
	O e-mail ainda é o principal mecanismo de distribuição para ataques de ransomware, mas na lista de formas de ataques temos engenharia social, ataques escondidos em anúncios online e os ransomware como uma forma de serviço. 
2.4.1. Contaminação por ataques e-mail tradicional 
Os invasores podem usar o protocolo Tor para ocultar sua localização. Ou eles podem usar o fluxo rápido, uma técnica de sistema de nomes de domínio (DNS) usada por botnets para ocultar o phishing e o malware. Às vezes, os atacantes podem se envolver em “sombras de domínio” e criar um site falso dentro de um site legítimo que redireciona usuários para um site que lança malware. Ou eles podem atrair usuários para um site falso mascarado como um real. Os ataques podem durar dois ou três dias ou uma semana, e os atacantes precisam continuar se movendo para diferentes endereços IP e locais. Muitas vezes, ele disse�, eles usarão um algoritmo gerador de domínio, uma equação que esmaga de novos domínios para os atacantes depois de fazer ping para servidores DNS. Alguns serviços, e ferramentas, podem proteger os usuários dessas táticas, mas os invasores geralmente sabem como continuar movendo sua infraestrutura para manter os ataques.
Acreditasse que 60% do ransomware ainda está distribuído por meio de um e-mail, geralmente através de um arquivo incorreto, um documento ou um arquivo zip. O relatório anual de segurança cibernética 201S �da Cisco Systems descobriu que 65% do tráfego de e-mail é spam e que cerca de 8 a 10% do spam global observado em 2016 poderia ser classificado como malicioso. Mesmo que os filtros de e-mail sinalizem o tráfego como spam mal-intencionado, os atacantes geralmente podem obter centenas de milhares de mensagens em poucos minutos.
2.4.2. Contaminação por malware escondido em anúncios online 
Cada vez mais os “malvertising”, ou malware escondido em anúncios on-line, está sendo usado para espalhar o ransomware. Os atacantes pagam anúncios legítimos, que, quando clicados, redirecionam os usuários para um servidor de exploração, o qual os redireciona para um servidor de gate. Os atacantes poderão então determinar o sistema operacional da vítima, o navegador e o status do plug-in. Usando essa informação, eles podem determinar as melhores vulnerabilidades para explorar e o melhor tipo de malware para executar. Muitos desses ataques começam a se mover mais para essa malversação, e é difícil para um cliente conseguir bloquear todos os sites. O Google bloqueou 780 milhões de anúncios ruins em 2015 e 1,7 bilhões em 2016, mas até que as redes de publicidade on-line façam mais para bloquear anúncios mal-intencionados, o problema persistirá.
2.4.3. Contaminação de ransomware como serviço 
O Ransomware como serviço, no qual os atacantes pagam por kits de exploração como Angler, Nuclear e Neutrino, permite que os hackers visem facilmente as vulnerabilidades de uma vítima e executem o ransomware. Eles então pagam um retrocesso ao designer do kit, geralmente 10 a 20 por cento do seu transporte total de resgate. 
2.5. A chave de emergência dos ransomware 
	A partir de um pedaço do código avaliado de um dos ataques de ransomware, foi descoberto referências a sites com nomes aparentemente conhecidos, mas um tanto estranhos e que não haviam sido registrados. Ao investir na compra de um desses domínios, o ransomware imediatamente parou de se espalhar. Aparentemente, o código do malware possui uma “chave de emergência” que é acionada quando um dos domínios aos quais ele envia dados é registrado. Após ativar um dos domínios relacionados. Infelizmente, isso não significa o fim dos ataques, visto que os responsáveis por ele podem simplesmente alterar seu código, mas além disso, a solução não resolve o problema de quem já teve sua máquina afetada. Porém é umas das formas de identificar os ataques.
3. Quais são as reais formas de defesa contra os ataques de ransomware 
Já é possível ter ferramentas de descodificação de ransomware grátis na TI e é uma forma de reduzir o risco. Normalmente, o resgate cobrado, é mais barato do que empregar uma empresa de recuperação de dados para tentar decifrar os arquivos. Mas antes de você pagar alguém, verifique se há uma ferramenta livre disponível, capaz de recuperar o que foi perdido. A Kaspersky, por exemplo, tem um decifrador de ransomware que trabalha com o Coinvault e o Bitcryptor. Há outras ferramentas que funciona com arquivos criptografados com Teslacrypt e locker.�
A primeira tarefa, então, é descobrir qual o malware exato criptografou os arquivos e, em seguida, pesquisar para ver se uma ferramenta de descriptografia está disponível. Se não, verifique se você� tem backups atualizados o suficiente para evitar ter que pagar o resgate. E se você não tem backups, é melhor ir em frente e pagá-lo. Sendo assim a maneira mais rápida e mais barata de resolver o problema, mas nem todos concordam.
Existem duas principais linhas de pensamento. A primeira é que os cibercriminosos querem tornar tão fácil quanto possível o pagamento e a obtenção da sua chave de descriptografia. Afinal, eles querem outras pessoas pagando também. Então, o processo precisa funcionar.Assim, se você seguir as instruções quando ao ver o resgate na tela e você obterá seus dados de volta. Mas isso também pode torná-lo presa fácil de outros ataques. Mesmo que você obtenha uma chave ou alguma ferramenta para descriptografar seus arquivos, ainda assim você não estará seguro. Os criminosos ainda podem ter acesso à sua máquina e mantê-la para solicitação de um novo resgate.
As� etapas que podem inibir o ataque de ransomware na sua empresa ou no seu computador pessoal são as seguintes. Primeiramente é fazer backups regulares de todos e qualquer arquivo que você não pode perder. Não acredite totalmente que os backups em nuvem ou o armazenamento em nuvem são imunes a ransomware, muitos serviços sincronizam arquivos com aqueles no seu disco rígido e poderiam sobrescrever arquivos não criptografados por outros, mais novos, criptografados. O melhor plano é fazer vários backups que incluem cópias em discos rígidos ou em qualquer mídia que não esteja conectada a um computador ou à Internet. Um disco rígido USB portátil é o ideal. A segunda etapa seria manter o seu antivírus e software de segurança da Internet atualizado e certifique-se de que você está usando o software que pode proteger contra todos os tipos de malware, incluindo ransomware. O terceiro item e para mim considerado o mais importante é o caso de você mesmo ser mais vigilante sobre quais anexos de e-mail você abre e links que você clica. ransomware geralmente depende de vulnerabilidades humanas, em vez de apenas fraquezas no software de segurança. Mesmo que um e-mail ou anexo seja de uma pessoa conhecida, ou do seu provedor de serviços, verifique se ele é verdadeiro. Em caso de dúvida, não abra o e-mail, muito menos abra um anexo ou clique em um link que supostamente o levará a uma página onde você pode inserir seus dados bancários.
3.1. Como se defender dos ataques do Teslacrypt
As formas de segurança mais aplicadas já foram citadas no item a cima, mas para este tipo de ataque devemos ficar atentos para as unidades conectadas, as pastas nas redes e o disco rígido, pois continua sendo a forma de infecção deste tipo de ransomware. Os passos a seguir funcionam na maioria dos casos para eliminar o teslacrypt. 
Reinicie o PC no modo de segurança com rede para teslacrypt ransomware ser detectado.
Descartar arquivos e pastas ocultos para remover teslacrypt ransomware.
Abolir o processo no Gerenciador de tarefas do windows para remover o teslacrypt ransomware
Abolir Registos suspeitos do windows para remover arquivos relacionados a teslacrypt ransomware
Utilizar de o teslacrypt ransomware scanner para eliminar por completo
3.2. Como se defender dos ataques do CTB-locker
O CTB-locker é um verdadeiro tormento na internet, já que não existe uma ferramenta até então que possa desbloquear os arquivos da vítima. A única forma de conseguir os arquivos criptografados de volta rapidamente é pagando o resgate. Ainda não se sabe como o CTB-locker está entrando nos servidores, mas pelas vítimas que foram atacadas sabe se que possivelmente seja uma vulnerabilidade em clientes que tenham plataforma wordpress. Por isso é recomendável sempre manter atualizado o wordpress, pois suas versões anteriores podem ter vulnerabilidades conhecidas. 
3.3. Como se defender dos ataques do Cryptowall 
Detalhando mais o assunto de backup que é o mais eficaz contra este tipo de malware, como podemos observar eles estão trazendo consigo técnicas eficazes para combater a recuperação de um backup infectando o próprio. A ideia aqui pode ser até simples, um sistema de backup offline por várias camadas, pode ser implementado como apenas o uso de mais de um disco externo e uma política de backup bem definida priorizando arquivos vitais. Caso a empresa necessite de mais segurança em seus arquivos, como análises de hashes pode também ser aplicada neste processo para validar se houve alguma infecção silenciosa antes de um processo de backup manual. O que podemos pensar é em boas práticas, onde arquivos suspeitos devem ser submetidos ao TI local da empresa para análise ou uma equipe de segurança que possa fazer a verificação do arquivo utilizando engenharia reversa para obter informações, estes testes devem ser executados em ambientes isolados em computadores DMZ (rede de fronteira), onde os serviços ficam organizados fora da rede não havendo conexão, onde são preparados especialmente para este trabalho.
3.4. Leis brasileiras que punem os ataques de ransomware. 
No Brasil a prática do ransomware pode ser tipificada como crime de extorsão (art. 158, CP�). Isso porque há um claro constrangimento mediante grave ameaça (da não recuperação do sistema ou do banco de dados), com o intuito de que seja pago um resgate, isto é, a obtenção de vantagem econômica indevida. Devemos ressaltar, ainda, que o resgate/valor sequer precisa ser pago para a configuração do crime, já que se trata de crime formal. A tipicidade não exige que o valor seja pago. Importante salientar, ainda, que no caso da difusão de vírus que pretenda bloquear o acesso à sistema informático, seria possível cogitar da tipificação do §1º do art. 154-A do Código Penal restaria absorvida pela consunção.
O §1º incrimina a conduta daqueles que produzem, oferecem, distribuem, vendem a terceiros, ou simplesmente difundem aleatoriamente dispositivos ou programas de computador que possam ser utilizados por terceiros para invadirem dispositivos informáticos ou neles instalar vulnerabilidades. Normalmente as condutas de criação e disseminação do kit para ataque de ransomware e o ataque propriamente dito serão praticadas num contexto muito próximo, fazendo com que os envolvidos respondam nos termos do art. 29 do Código Penal, isto é, responderão pelos mesmos fatos. E, nesta perspectiva, o crime fim absorveria o crime meio, isto é, ambos responderiam pela extorsão.
3.5. Solução para os aspectos de riscos levantados sobre os ataques de ransomware
	3.5.1. Possuir S.O originais e manter sempre atualizado, incluindo os servidores
	Devemos analisar os seguintes requisitos: Qual a política de atualização para estações de trabalho, servidores, aplicações como banco de dados, ERP, web entre outros. Será que a política tradicional de atualizar os servidores uma vez por mês continua efetiva ou precisamos redesenhar este processo? E outro ponto que devemos verificar, é o caso dos sistemas operacionais sem suporte de fabricante, e será que ainda possuem correções contra os novos ataques de ransomware?
3.5.2. Implementar PSI e campanhas de conscientização para todos os funcionários 
	Realizar a estruturação das diretrizes da segurança da informação que atendam aos interesses da organização e estejam em compliance com as boas práticas de mercado e com auditorias externas continua sendo outro ponto de bastante relevância. Os itens que devemos seguir é a realização da conscientização dos funcionários de forma eficaz, gerar engajamento da alta administração, desenvolver normais para auxiliar e especificar a relevância de cada cenário.
3.5.3. Restruturação técnica do ambiente tecnológico 
	A parte de restruturação tem a etapa de instalar e manter configurado e atualizado antivírus corporativo em todos os equipamentos corporativos. Também devemos criar uma norma para uso de dispositivos moveis e USB no ambiente de trabalho e realizar os devidos bloqueios e acessos tecnológicos. A estrutura do AD e permissões de acesso na rede, file server, banco de dados, ERP e outras estruturas também devem ser reestruturadas. 
3.5.4. Revisão técnica do ambiente tecnológico 
	A revisão se dá início aos perfis de acesso baseados no perfil de usuário (PU) x padrão de atividade de negócio (PAN). Devemos analisar os perfis de usuários com privilégios administrativos, onde também a revisão de auditoria de regras do firewall, IPS/IDS e VPN, incluindo perfis de navegação. 
	Estruturar o sistema de backup e contingência que atenda ao recovery point objective (RPO) e recovery time objective (RTO) da empresa, onde toda estáanalise dos acessos externos ao ambiente se tem através da visão no qual é levantada pelo Business Impact Analysis (BIA). 
3.5.5. Plano de continuidade de negócio (PCN)
	Após realizar toda a análise do ataque do ransomware em cima da organização, devemos agora verificar qual a estrutura atual, como cluster, ambiente de disaster recovery (DR), replicação, contingência manual de aplicações e outros serviços. Assim, pode-se avaliar quais serão os reais impactos deste ataque a empresa e com isto visualizar quais sistemas críticos estão contingenciados e qual será o objetivo mínimo de continuidade do negócio (OMCN). Depois de todas os levantamentos realizados iremos validar a real situação da empresa após o ataque dos cibercriminosos.
3.5.6. Quais planos de mitigação de risco (PMR) a empresa possui e quais estão alinhados com o sistema de gestão de continuidade de negócio (SGCN) da empresa.
	Abaixo, uma relação com seis itens que irão mitigar os possíveis riscos a sua empresa se houver um ataque de ransomware:
Caso aconteça um incidente de ransomware em seu ambiente. Devemos saber como analisar o impacto do incidente. Desde a origem e como corrigi-lo.
Qual será a matriz de comunicação que devemos aplicar.
Quais ações de contingência.
Quais atividades de correção.
Acionar o ambiente de DR.
Qual é o RPO e RTO neste cenário. 
3.6. Os reais lucros dos cibercriminosos de ransomware
	O ataque que está provocando caos pela internet não se mostrou muito lucrativo até o momento. Aquele que é considerado como um dos ransomwares mais poderosos da história só rendeu aproximadamente 26 mil dólares até o momento. O valor é pequeno quando levamos em consideração seu potencial para gerar danos bilionários. Isto é pelo fato de que os hackers cobram 300 dólares para desbloquear dispositivos, o que significa que muitas pessoas teriam que pagá-los para que a soma total chegasse a um nível alto. O valor calculado por ele se deve ao fato de as transações serem feitas através de Bitcoins, o que permite ver o histórico dos endereços aos quais elas estão relacionadas. Como resultado, é possível dizer quanto os criminosos que lideram essa onda de crimewares já receberam e quantas vítimas pagaram o resgate. 
Uma das formas de lucrar com o malware, é fazer o seu valor de resgate aumentar rapidamente ou dobrar nos próximos dias após a infecção, já que é configurado para dobrar gradativamente o preço cobrado por seus resgates, o que serve como ferramenta de pressão aos usuários afetados. Assim, somente o tempo vai conseguir dizer se os criminosos vão ficar milionários com suas ações ou se alguém vai conseguir pará-los antes que isso aconteça.
Motivation of rescue attacks in hospitals and how to defend themselves
Andrews Franco
ABSTRACT
Ransomware is already considered one of the most harmful computer viruses on the internet. Making it a high risk for several sectors around the world, such as health, government, retail, finance among other segments. These malicious programs that scour both e-mail and / or instant messages are not exactly new. But what is the real meaning of ransomware, comes from the merger of the word "ransom" which means ransom and "software" means program. It is a malicious program, once installed on a computer, encrypts all as stored information without hard disk and requires payment of a ransom to the owner, except the information to not how to destroy them. The form of redemption payment is through bitcons, a virtual currency that is difficult to trace, making it almost impossible to find the criminal. This form is used from a bit letter, where money is transferred to another person through the system, no personal data is shared or information about the surviving transition is investigated by the police. This article aims to bring about studies on how to minimize the risks of ransomware attacks in the health sector to the maximum extent of applying the best security practices.
Keywords: Ransomware. Risk sectors. Bitcoins. Digital security.
REFERÊNCIAS
https://www.zillion.com.br/site/dicas-de-ti/ransomware-o-que-e-e-como-voce-pode-se-proteger Acesso 02 Nov. 2017. 
http://portuguese.malwares.news/teslacrypt-ransomware-eliminacao-passos-para-livrar-se-de-teslacrypt-ransomware-manualmente 02 Nov. 2017.
https://canalcienciascriminais.com.br/crimes-digitais-ransomware/ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. NBR 6028: resumos. Rio de Janeiro, 2003b. 2 p. 02 Nov. 2017.
https://www.kaspersky.com.br/blog/teslacrypt-20-ransomware/5525/
https://www.techtudo.com.br/noticias/2017/05/os-setores-mais-visados-por-golpes-de-ransomware-no-brasil.ghtml
https://www.kaspersky.com.br/blog/ctb-locker-ransomware-infects-70-web-servers/6103/
https://canalcienciascriminais.com.br/ataques-ransomware-setor-saude/
https://www.tecmundo.com.br/seguranca-de-dados/114109-setor-saude-deve-principal-alvo-ciberataques-2017.htm
http://www.securityreport.com.br/destaques/saude-deve-ser-o-setor-mais-atacado-em-2017/
https://www.profissionaisti.com.br/2017/08/ransomware-como-mitigar-os-riscos-envolvidos/
http://computerworld.com.br/por-us-175-e-possivel-adquirir-um-ransomware-na-deep-web
http://g1.globo.com/tecnologia/blog/seguranca-digital/post/saiba-se-proteger-dos-virus-que-sequestram-arquivos-como-o-cryptolocker.html
https://canalcienciascriminais.com.br/crimes-digitais-ransomware/
https://www.profissionaisti.com.br/2017/08/ransomware-como-mitigar-os-riscos-envolvidos/
� Especialização em segurança da informação na Universidade Estácio de Sá. E-mail: andrewsfranco93@gmail.com
�Ao meu ver acho que ficaria melhor iniciar de outra forma, assim: O que motiva os ataques de ransomware em Hospitais e como é possível se defender? 
Engloba mais o assunto.
�Está confusa está parte.
�Qual o nome do cientista?
�O que este 2009 faz aqui?
�Talvez fosse melhor integrar um pouco mais essas duas citações.
�OI?
�Está meio vazio essa frase.
Talvez por: Abaixo, listo os cinco setores mais afetados no Brasil conjuntamente com os seus motivos.
�Quais outras? Se não vai citar, acho melhor não colocar
�Se é delicada, não precisa ser bastante. Já é delicada
�Macabro hein
�ATENÇÃO!!!! OLHA O COPIA E COLA!!!
�Ele quem? Disse o que?
�Dois mil e quanto?
�COPIA E COLA DENOVO!!!!!
�Presta atenção na colocação das pessoas. Isso ta muito copia e cola
�Olha, pra mim essa parte ta muito superficial. Parece que tu pego de um artigo na internet e coloco ali direto sem alterar nada. 
Posso ta errada claro, mas da uma olhada melhor
�QUE LINDO <3