Arquivos Mensais: agosto 2016

Início/2016/agosto

Vírus Ranscam não dá a mínima se você paga o resgate ou não

Quando ransomwares atacam, não é estranho se perguntar se vale ou não a pena pagar o resgate para ter sua vida eletrônica de volta sem muito problema. Na Kaspersky Lab, recomendamos que você não pague o resgate, mas no caso de um novo ransomware chamado Ranscam definitivamente não tem porquê -ele apaga os arquivos de qualquer forma.

O Threatpost publicou um artigo sobre o novo malware, afirmando que em contraste com a proficiência de novos ransomwares, o Ranscam parece ser preguiçoso e particularmente incompetente. É como comparar uma britadeira com uma retroescavadeira. Infelizmente, uma britadeira pode ser causar destruição também. Mas ransomwares mais sofisticados tem por objetivo extorquir o dinheiro da vítima com a justificativa de restaurar os arquivos da vítima. O Ranscam é só um golpe.

Como o Ranscam Funciona
A primeira coisa que um usuário verá depois que o malware entrou no sistema é um pedido de resgate -porém esse pedido tem uma diferença. No lugar de direcionar os usuários para um link externo em que os usuários anunciariam ter pago o resgate, o bilhete expõe um botão que redireciona para uma mensagem similar a “Fiz o pagamento, por favor verifique. ”

A diferença é bem significativa. Cada vez que o botão é clicado, uma mensagem aparece, informando que o pagamento não foi verificado e que um arquivo será deletado cada vez que o botão for pressionado sem que os criminosos por trás do Ranscam tenham sido pagos. A ideia por trás disso é muito provavelmente pressionar o usuário, deixando-o nervoso e o compelindo a pagar diversas vezes.

Na verdade, é tudo mentira – mas isso não é um bom sinal para a vítima. O ransomware afirma ter movido os arquivos para uma “partição criptografada, escondida”, mas na verdade, os arquivos foram deletados antes mesmo da mensagem ter sido exibida. Não há forma de recuperá-los.

Pesquisadores do Talos Security Intelligence and Research Group, da Cisco, explicaram que o ransomware simplesmente destrói os arquivos de modo que que os cibercriminosos não precisam se preocupar em aprender os detalhes sobre cryptolockers. Até agora o Ranscam não foi associado a nenhum ataque relevante; o malware serve de lembrete para o fato de que pagar o resgate pode não funcionar (sem mencionar que pagar o resgate é um ótimo jeito de incentivar os criminosos a continuarem praticando crimes.)

Não há nenhuma solução para recuperar os arquivos deletados pelo Ranscam; a única forma de se proteger é prevenir. Recomendamos, portanto, um plano simples:

  1. Não abra anexos e não clique em links suspeitos. Não se sabe muito bem como o Ranscam se propaga, mas o suspeito padrão é um anexo de e-mail e sites maliciosos ou hackeados. Então se você não tem 100% de certeza, não clique.
  1. Faça backups dos seus dados regularmente em uma unidade de armazenamento offline. Se algum ransomware encriptar ou deletar seus arquivos, você estará pronto para isso.
  1. Use um antivírus confiável. O Kaspersky Internet Security detecta o Ranscam como Trojan-Ransom.MSIL.Agent e não dá a menor chance para o ransomware fazer qualquer coisa com seus arquivos.

 

Fonte: Kaspersky.com.br

Novo malware bancário utiliza o DropBox como hospedeiro

Profissionais de segurança da Trend Micro detectaram recentemente uma tentativa de ataque por meio da engine de New Domain do produto Deep Discovery, responsável por gerar alertas quando um domínio novo é utilizado. Classificado como Banload, o malware tem como objetivo o roubo de dados bancários das vítimas infectadas.

A primeira detecção feita pelo Deep Discovery Inspector foi a chegada de um e-mail com uma URL utilizando um domínio novo na base de reputação da Trend Micro. Em uma tentativa de burlar regras geralmente existentes em sistemas de segurança para e-mail, o atacante enviou um endereço que direciona o usuário ao download do arquivo malicioso.

O ponto que chamou a atenção foi o redirecionamento para uma URL maliciosa no Brasil que encaminhava o usuário a um download de um arquivo ZIP hospedado no DropBox. O atacante usou da engenharia social para fazer com que as vítimas usassem o link enviado e fossem infectadas: o assunto do e-mail era “Segue o comprovante de depósito”.

Após a vítima ser infectada, começa a comunicação com o servidor de comando e controle do atacante. O protocolo utilizado na comunicação entre a máquina infectada e a comunicação C&C era o HTTP.

 

De acordo com os analistas da Trend Micro, a utilização de um User-Agent personalizado apresentou-se muito mais significativa do que o observado: em uma das primeiras ações, o malware identificou o nome da máquina infectada e possibilitou ao C&C fazer um registro daquela infecção.

O C&C é mantido no Brasil, em uma grande empresa de hosting.  Dentro de um diretório chamado Play, o atacante mantém uma página falsa de atualização do Adobe Flash, que redireciona o usuário para a URL mencionada no começo do artigo. Após o usuário clicar no link para “visualizar o comprovante de depósito” é exibida uma página informando ser necessário atualizar o flash e o usuário é redirecionado para um diretório do Dropbox, onde o malware está hospedado.

Os pontos que mais chamaram a atenção da Trend Micro durante análise do malware foram:

– Técnicas de evasão de análise em Sandbox: o malware pode detectar se sua execução está ocorrendo em um ambiente real ou simulado. Por meio do Deep Discovery Analyzer é possível iludir o malware utilizando técnicas anti-evasão; 

– Download de módulos externos: foram detectados módulos adicionais para a captura das teclas, permitindo o roubo de senhas bancárias da vítima.

Pelo rastreamento na base de inteligência da Trend Micro, foi constatado que o User-Agent utilizado na comunicação tinha o mesmo nome de um grupo de atacantes brasileiro relacionado a possíveis ataques direcionados.

A Trend Micro informou ao DropBox, que um grupo de atacantes estava utilizando seus serviços para hospedar um malware e o link foi retirado do ar.

 

Fonte: IDGNOW

Kaspersky lança solução anti-ransomware grátis para empresas

A Kaspersky Lab lançou um software gratuito que ajuda empresas a ampliarem seus níveis de segurança contra ataques de ransomware. Segundo a provedora, o Anti-Ransomware Tool for Business ajuda organizações a identificarem padrões de comportamento típicos dessas ameaças, protegendo endpoints Windows.

“As funcionalidades possibilitam bloquear e reverter alterações prejudiciais ao sistema”, afirma a fabricante de ferramentas de proteção, destacando que programas maliciosos que infectam computadores e criptografam dados corporativos em troca de resgate são um grande problema para companhias.

O estudo, baseado nas estatísticas da própria provedora, mostra aumento de quase seis vezes no número de ataques de ransomware a empresas, chegando a 158,6 mil nos últimos 12 meses.

 

De acordo com uma pesquisa da fornecedora, quase 42% das companhias de pequeno e médio porte (PMEs) foram vítimas desse tipo de ataque nos últimos 12 meses. Dentre as vítimas, 34% pagaram resgate e um quinto não foi capaz de recuperar seus dados, mesmo atendendo às demandas dos criminosos.

O Anti-Ransomware Tool for Business é compatível com soluções de segurança de terceiros e deve ser usado como medida complementar no combate ao ransomware.

A provedora recomenda soluções ferramentas adicionais que forneçam maior proteção em todos os níveis de rede, incluindo tecnologias de segurança para estações de trabalho, servidores de arquivos e dispositivos móveis contra todos os tipos de malware e ataques sofisticados.

 

Fonte: ComputerWorld