Sobre Luciano Goto

CEO da 4SEC IT Consulting, especialista em Segurança da Informação com mais de 25 anos de experiência em Tecnologia da Informação.

Vírus Ranscam não dá a mínima se você paga o resgate ou não

Quando ransomwares atacam, não é estranho se perguntar se vale ou não a pena pagar o resgate para ter sua vida eletrônica de volta sem muito problema. Na Kaspersky Lab, recomendamos que você não pague o resgate, mas no caso de um novo ransomware chamado Ranscam definitivamente não tem porquê -ele apaga os arquivos de qualquer forma.

O Threatpost publicou um artigo sobre o novo malware, afirmando que em contraste com a proficiência de novos ransomwares, o Ranscam parece ser preguiçoso e particularmente incompetente. É como comparar uma britadeira com uma retroescavadeira. Infelizmente, uma britadeira pode ser causar destruição também. Mas ransomwares mais sofisticados tem por objetivo extorquir o dinheiro da vítima com a justificativa de restaurar os arquivos da vítima. O Ranscam é só um golpe.

Como o Ranscam Funciona
A primeira coisa que um usuário verá depois que o malware entrou no sistema é um pedido de resgate -porém esse pedido tem uma diferença. No lugar de direcionar os usuários para um link externo em que os usuários anunciariam ter pago o resgate, o bilhete expõe um botão que redireciona para uma mensagem similar a “Fiz o pagamento, por favor verifique. ”

A diferença é bem significativa. Cada vez que o botão é clicado, uma mensagem aparece, informando que o pagamento não foi verificado e que um arquivo será deletado cada vez que o botão for pressionado sem que os criminosos por trás do Ranscam tenham sido pagos. A ideia por trás disso é muito provavelmente pressionar o usuário, deixando-o nervoso e o compelindo a pagar diversas vezes.

Na verdade, é tudo mentira – mas isso não é um bom sinal para a vítima. O ransomware afirma ter movido os arquivos para uma “partição criptografada, escondida”, mas na verdade, os arquivos foram deletados antes mesmo da mensagem ter sido exibida. Não há forma de recuperá-los.

Pesquisadores do Talos Security Intelligence and Research Group, da Cisco, explicaram que o ransomware simplesmente destrói os arquivos de modo que que os cibercriminosos não precisam se preocupar em aprender os detalhes sobre cryptolockers. Até agora o Ranscam não foi associado a nenhum ataque relevante; o malware serve de lembrete para o fato de que pagar o resgate pode não funcionar (sem mencionar que pagar o resgate é um ótimo jeito de incentivar os criminosos a continuarem praticando crimes.)

Não há nenhuma solução para recuperar os arquivos deletados pelo Ranscam; a única forma de se proteger é prevenir. Recomendamos, portanto, um plano simples:

  1. Não abra anexos e não clique em links suspeitos. Não se sabe muito bem como o Ranscam se propaga, mas o suspeito padrão é um anexo de e-mail e sites maliciosos ou hackeados. Então se você não tem 100% de certeza, não clique.
  1. Faça backups dos seus dados regularmente em uma unidade de armazenamento offline. Se algum ransomware encriptar ou deletar seus arquivos, você estará pronto para isso.
  1. Use um antivírus confiável. O Kaspersky Internet Security detecta o Ranscam como Trojan-Ransom.MSIL.Agent e não dá a menor chance para o ransomware fazer qualquer coisa com seus arquivos.

 

Fonte: Kaspersky.com.br

Novo malware bancário utiliza o DropBox como hospedeiro

Profissionais de segurança da Trend Micro detectaram recentemente uma tentativa de ataque por meio da engine de New Domain do produto Deep Discovery, responsável por gerar alertas quando um domínio novo é utilizado. Classificado como Banload, o malware tem como objetivo o roubo de dados bancários das vítimas infectadas.

A primeira detecção feita pelo Deep Discovery Inspector foi a chegada de um e-mail com uma URL utilizando um domínio novo na base de reputação da Trend Micro. Em uma tentativa de burlar regras geralmente existentes em sistemas de segurança para e-mail, o atacante enviou um endereço que direciona o usuário ao download do arquivo malicioso.

O ponto que chamou a atenção foi o redirecionamento para uma URL maliciosa no Brasil que encaminhava o usuário a um download de um arquivo ZIP hospedado no DropBox. O atacante usou da engenharia social para fazer com que as vítimas usassem o link enviado e fossem infectadas: o assunto do e-mail era “Segue o comprovante de depósito”.

Após a vítima ser infectada, começa a comunicação com o servidor de comando e controle do atacante. O protocolo utilizado na comunicação entre a máquina infectada e a comunicação C&C era o HTTP.

 

De acordo com os analistas da Trend Micro, a utilização de um User-Agent personalizado apresentou-se muito mais significativa do que o observado: em uma das primeiras ações, o malware identificou o nome da máquina infectada e possibilitou ao C&C fazer um registro daquela infecção.

O C&C é mantido no Brasil, em uma grande empresa de hosting.  Dentro de um diretório chamado Play, o atacante mantém uma página falsa de atualização do Adobe Flash, que redireciona o usuário para a URL mencionada no começo do artigo. Após o usuário clicar no link para “visualizar o comprovante de depósito” é exibida uma página informando ser necessário atualizar o flash e o usuário é redirecionado para um diretório do Dropbox, onde o malware está hospedado.

Os pontos que mais chamaram a atenção da Trend Micro durante análise do malware foram:

– Técnicas de evasão de análise em Sandbox: o malware pode detectar se sua execução está ocorrendo em um ambiente real ou simulado. Por meio do Deep Discovery Analyzer é possível iludir o malware utilizando técnicas anti-evasão; 

– Download de módulos externos: foram detectados módulos adicionais para a captura das teclas, permitindo o roubo de senhas bancárias da vítima.

Pelo rastreamento na base de inteligência da Trend Micro, foi constatado que o User-Agent utilizado na comunicação tinha o mesmo nome de um grupo de atacantes brasileiro relacionado a possíveis ataques direcionados.

A Trend Micro informou ao DropBox, que um grupo de atacantes estava utilizando seus serviços para hospedar um malware e o link foi retirado do ar.

 

Fonte: IDGNOW

Kaspersky lança solução anti-ransomware grátis para empresas

A Kaspersky Lab lançou um software gratuito que ajuda empresas a ampliarem seus níveis de segurança contra ataques de ransomware. Segundo a provedora, o Anti-Ransomware Tool for Business ajuda organizações a identificarem padrões de comportamento típicos dessas ameaças, protegendo endpoints Windows.

“As funcionalidades possibilitam bloquear e reverter alterações prejudiciais ao sistema”, afirma a fabricante de ferramentas de proteção, destacando que programas maliciosos que infectam computadores e criptografam dados corporativos em troca de resgate são um grande problema para companhias.

O estudo, baseado nas estatísticas da própria provedora, mostra aumento de quase seis vezes no número de ataques de ransomware a empresas, chegando a 158,6 mil nos últimos 12 meses.

 

De acordo com uma pesquisa da fornecedora, quase 42% das companhias de pequeno e médio porte (PMEs) foram vítimas desse tipo de ataque nos últimos 12 meses. Dentre as vítimas, 34% pagaram resgate e um quinto não foi capaz de recuperar seus dados, mesmo atendendo às demandas dos criminosos.

O Anti-Ransomware Tool for Business é compatível com soluções de segurança de terceiros e deve ser usado como medida complementar no combate ao ransomware.

A provedora recomenda soluções ferramentas adicionais que forneçam maior proteção em todos os níveis de rede, incluindo tecnologias de segurança para estações de trabalho, servidores de arquivos e dispositivos móveis contra todos os tipos de malware e ataques sofisticados.

 

Fonte: ComputerWorld

Atualização Grátis para o Windows 10 termina amanhã

A Microsoft lançou o Windows 10 a quase um ano atrás, em 29 de Julho de 2015. O software é oferecido gratuitamente se você possui o Windows 7 ou o 8.1 instalado, mas esta oferta esta prestes a terminar. Você pode atualizar seu Windows, sem pagar nada, somente até amanhã, depois de 29 de Julho de 2016, a Microsoft começará a cobrar U$119,00 (dólares) para atualizar o seu windows para a versão 10, durante o período grátis, você poderá obter a Atualização de Aniversário (será lançado em 02 de Agosto) livre de cobranças.

A atualização é um processo simples, que se inicia a partir de uma notificação na barra de tarefas do windows, em máquinas elegíveis. Se você pretende atualizar o seu Windows nas próximas 24 horas, lembre-se de realizar um backup de todas as suas informações importantes.

Perigo, novo Malware para Mac, Backdoor.MAC.Elanor – pode roubar dados, executar códigos e controlar sua webcam

Após a descoberta no início deste ano, do primeiro Ransonware para Mac, a Bitdefender Labs encontrou um segundo exemplo de Malware em circulação este ano, denominado BackDoor.MAC.Elanor. O aplicativo está disponível em uma série de sites de download de renome, tais como MacUpdate.

 

O backdoor é incorporado em um falso aplicativo conversor de arquivos, que é acessível on-line, em sites respeitáveis que oferecem aplicativos e software Mac. O EasyDoc Converter.app se apresenta como um conversor de arquivos drag-and-drop, mas não tem nenhuma funcionalidade real – é simplesmente o download de um script malicioso.

Este é um backdoor desagradável que pode roubar dados, executar código remoto e acessar a webcam, entre outras coisas
 
O diretor da Malwarebytes, Thomas Reed já teria avisado a MacUpdate que o malware está presente em seu site, mas até a publicação deste post o malware ainda não tinha sido removido.

O líder técnico do Bitfender, Tibério Axinte, diz que não há limite real para o Backdoor.MAC.Elanor pode fazer.

Este tipo de malware é particularmente perigoso,  porque é difícil de detectar e oferece o controle total do sistema comprometido ao atacante. Por exemplo, alguém pode trancá-lo fora de seu laptop, ameaçar fazer chantagem para restaurar seus arquivos privados ou transformar o seu laptop em um botnet, para atacar outros dispositivos. As possibilidades são infinitas.
 
A boa notícia é que o aplicativo malicioso não está assinado por um Apple Developer ID, por isso, se o seu Mac esta configurado apenas para abrir aplicativos da Mac App Store ou promotores conhecidos, ele não será aberto. No entanto,  é necessário enfatizar a importância de ter cautela, mesmo quando o download de aplicativos for feito a partir de sites confiáveis.
 
fonte: 9to5mac

Skype – Agora você pode enviar arquivos para usuários offline

Você ja usou serviços de transferência de dados offline ? Por exemplo: WeTransfer ou Dropbox.

Pois bem a Microsoft resolveu aprimorar a experiência do Skype e disponibilizou um recurso semelhante aos dos exemplos mencionados, facilitando a transferência de arquivos, será possível trocar fotos, vídeos e outros arquivos com contatos offline, além de permitir o download dos arquivos mais de uma vez.

Este novo recurso permite a transferência de arquivos até o tamanho de 300MB, o que é bem grande, mesmo assim, caso não seja o suficiente para você a Microsoft recomenda que utilize o One Drive para transferências maiores.

A nova ferramenta está disponível para todas as plataformas que tiverem a versão mais recente do aplicativo.

Cuidado Mac Users: Surgiu o Primeiro Ransomware Totalmente Funcional para OS X

No fim de semana, hackers conseguiram infectar o aplicativo de BitTorrent Transmission, de código aberto, com o primeiro ransomware totalmente funcional detectado no OS X, relatou a Palo Alto Networks.

Apelidado de “KeRanger , o ransomware foi inserido em 2 instaladores do Transmission 2.9, lançados em 04/03/2016Não está claro como os arquivos foram substituídos por versões infectadas, mas o site pode ter sido comprometido.

A aplicação KeRanger foi assinada com um certificado de desenvolvimento de aplicativos Mac válido; portanto, era capaz de ignorar a proteção Gatekeeper da Apple. Se o usuário instalar os aplicativos infectados, um arquivo executável embutido é executado no sistema. KeRanger então aguarda por três dias antes de se conectar ao servidores de comando e controle (C2) através da rede Tor anonymizer. O malware, então, começa a criptografia de certos tipos de arquivos de documentos e dados no sistema. Depois de completar o processo de criptografia, KeRanger exige que as vítimas paguem um bitcoin (cerca de US $ 400) para um endereço específico para recuperar seus arquivos. Além disso, o KeRanger parece estar ainda em desenvolvimento ativo e parece que o malware também está tentando criptografar arquivos de backup Time Machine para evitar vítimas de recuperar seus dados de backup.

Após a notificação do problema, o Projeto Transmission removeu os instaladores maliciosos e Apple atualizou suas assinaturas de antivírus XProtect e revogou o certificado comprometido, para impedir novas instalações. Se você baixou o Transmission entre as 4:00 hs do dia 04 de março de 2016 e antes de 00:00 hs do dia 05 de março de 2016, você pode estar infectado.

Aqui está o passo-a-passo recomendado para você identificar e remover o ransomware:

 

 

● Usando o Terminal ou Finder, verifique se /Applications/Transmission.app/Contents/Resources/ General.rtf ou /Volumes/Transmission/Transmission.app/Contents/Resources/ General.rtf existe. Se algum deles existir, o aplicativo Transmission está infectado e recomendamos excluir esta versão do programa.
● Usando o  “Activity Monitor” pré-instalado no OS X, verifique se qualquer processo chamado “kernel_service” está em execução. Se estiver, verifique o processo, escolha a opção “Abrir Arquivos e Portas” e verificar se existe um nome de arquivo como “/Users//Library/kernel_service” . Se existir, o processo é o principal processo do KeRanger. Sugerimos encerrá-lo com “Quit > Forçar Encerrar.
Após essas etapas, recomendamos também que os usuários verifiquem se os arquivos .kernel_pid“, “.kernel_time“, “.kernel_complete” ou “kernel_service” existem no diretório ~ / Library. Se existirem, você deve excluí-los..

 

 

Microsoft encerrará o suporte aos navegadores IE 8, 9 e 10

A partir de 12 de janeiro de 2016 a Microsoft encerrará o suporte aos navegadores IE 8, 9, e 10, encerrando um longo ciclo de atividade destas versões do Internet Explorer.

Conhecido por seus problemas de desempenho e segurança, o encerramento destas versões é um alívio para os desenvolvedores para web,  pois precisavam se preocupar com navegadores antigos ao criar aplicações, pois muitas vezes códigos de CSS modernos eram incompatíveis com estas versões.

Para a versão do Internet Explorer 11, o suporte continuará normalmente, recebendo atualizações de segurança, correções de compatibilidade e suporte técnico no Windows 7, 8.1 e 10.

Muitas vezes os usuários que ainda usam as versões 8, 9 ou 10 do IE, o fazem por algum problema de compatibilidade com alguma aplicação específica, desenvolvida para navegadores antigos, espero que com o anúncio do final do suporte, as empresas que ainda possuam aplicações que só funcionam em versões defasadas, atualizem seus sistemas.

 

Você odeia carregar o Pau de Selfie ? Este case pode resolver o seu problema.

É muito fácil não gostar dos populares “Pau de Selfie”, na minha opinião eles são tão fáceis de carregar por ai quanto um guarda-chuvas, durante uma viagem você anda com o gadget pendurado para todo lado, mas quando você realmente precisa, nota que o esqueceu no hotel !!!

A Stickbox criou uma solução para este problema, eles criaram um case para seu smartphone, que engenhosamente se transforma em um “Pau de Selfie”, quando esta fechado aumenta um pouco a espessura do seu smartphone, quando aberto chega a estender até 71 cm (28 polegadas).

 

SelfStick

Seguindo a tendência dos tripés, os “Paus de Selfie” estão encolhendo para ficar cada vez mais fácil de transportar, o SelfStick basicamente é uma vara telescópica de alumínio, compacto e leve.

Os criadores do Stikbox lançaram uma campanha de crowdfunding no Kickstarter para ajudar a colocar a sua criação em produção. O preço de varejo regular para o caso, será em torno de US$ 44,00. Mas você pode obter um por US$ 29,00 durante a fase de doações do crowdunding.

 

Particularmente achei a solução muito legal, a impressão que tive através das fotos e vídeos, é que se trata de um produto premium, bem acabado e projetado com inteligência.

Nova categoria de malware, rouba dados bancários e é quase impossível de remover

Nemesis, é o nome de batismo desta nova ameaça digital, mas o que é o nemesis ?

segundo o Wikipedia, Nemesis pode ter várias origens:

O meu preferido é o Nemesis que faz referência ao filme Resident Evil, por que com esse novo malware, uma vez que o computador seja infectdao, a coisa fica realmente feia.

O arquivo malicioso foi criado para roubar dados bancários e ter acesso a serviços financeiros sem autorização — desde o processamento de cartões de crédito até transferências remotas. Até aí, nada novo, mmas é preciso dizer que o Nemesis elevou o poder de fogo dos malwares.

Pesquisadores e especialistas em segurança chegaram à conclusão de que o Nemesis está atingindo partes dos computadores que dificultam a detecção e a remoção. Ele se instala no processo de Boot dos PCs, fazendo com que os códigos maliciosos sejam rodados junto com o carregamento do sistema operacional, mas independente da autorização dele.

 

mbr

Essa nova técnica chamada de Bootkit consegue transferir arquivos, fazer capturas de tela, registrar teclas digitadas pelos usuários, modificar processos e permitir que outras atividades não autorizadas sejam rodadas no sistema. A instalação ocorre em seções de baixo nível do disco, na área de inicialização do sistema MBR(Master Boot Record), fazendo com que a reinstalação do SO não seja suficiente para acabar com a ameaça.

Uma nova categoria

Especialistas dizem que o Nemesis é a primeira ameaça de Boot a conseguir sequestrar rotinas a ponto de se tornar “quase invisível e persistente”. Devido ao sequestro da sequência de inicialização dos computadores, usando um instalador chamado “BOOTRASH”. Ele se instala entre os espaços vazios entre as partições, criando arquivos de sistema virtuais e rodando processos maliciosos sem qualquer suspeita.

mbr alterado

Por enquanto, a forma de resolver o problema e eliminar a ameaça só é possível com  uma limpeza total dos discos, limpando principalmente a área de MBR.

 

Ir ao Topo