GhostDNS: Ainda não sabe se o seu roteador foi infectado?

GhostDNS: Ainda não sabe se o seu roteador foi infectado?

GhostDNS: Ainda não sabe se o seu roteador foi infectado?

Encontrado em mais de 70 modelos, incluindo marcas como TP-Link, D-Link, Intelbras, Multilaser e Huawei, entre outras, o Ghost DNS já foi responsável pela infecção total de 87 mil dispositivos, sendo a maioria aqui no Brasil.

O GhostDNS realiza um ataque conhecido como DNSchange, porém de uma forma muito mais avançada. De uma forma geral, este golpe tenta adivinhar a senha do roteador na página de configuração web usando identificações definidas por padrão pelas fabricantes, como admin/admin, root/root, etc. Outra maneira é pular a autenticação explorando dnscfg.cgi. Com acesso às configurações do roteador, o malware altera o endereço DNS padrão – que traduz URLs de sites desejáveis, como os de bancos – para IPs de sites mal-intencionados.

Com mais de 100 scripts de ataque, o GhostDNS ainda conta com outros módulos estruturais no GhostDNS, além do DNSChanger. O primeiro é o servidor DNS Rouge, que sequestra os domínios de bancos, serviços na nuvem e outros sites com credenciais interessantes para os criminosos. O segundo é o sistema de phishing na web, que pega os endereços de IP dos domínios roubados e faz a interação com as vítimas por meio de sites falsos.

Fluxograma do ataque promovido pelo GhostDNS a roteadores — Foto: Reprodução/Netlab at 360

Quais modelos foram infectados?

Os roteadores afetados foram infectados por diferentes módulos DNSChanger. No Shell DNSChanger, os seguintes modelos foram identificados:

  • 3COM OCR-812
  • AP-ROUTER
  • D-LINK
  • D-LINK DSL-2640T
  • D-LINK DSL-2740R
  • D-LINK DSL-500
  • D-LINK DSL-500G/DSL-502G
  • Huawei SmartAX MT880a
  • Intelbras WRN240-1
  • Kaiomy Router
  • MikroTiK Routers
  • OIWTECH OIW-2415CPE
  • Ralink Routers
  • SpeedStream
  • SpeedTouch
  • Tenda
  • TP-LINK TD-W8901G/TD-W8961ND/TD-8816
  • TP-LINK TD-W8960N
  • TP-LINK TL-WR740N
  • TRIZ TZ5500E/VIKING
  • VIKING/DSLINK 200 U/E
  • A-Link WL54AP3 / WL54AP2
  • D-Link DIR-905L
  • Roteador GWR-120
  • Secutech RiS Firmware
  • SMARTGATE
  • TP-Link TL-WR841N / TL-WR841ND
  • AirRouter AirOS
  • Antena PQWS2401
  • C3-TECH Router
  • Cisco Router
  • D-Link DIR-600
  • D-Link DIR-610
  • D-Link DIR-615
  • D-Link DIR-905L
  • D-Link ShareCenter
  • Elsys CPE-2n
  • Fiberhome
  • Fiberhome AN5506-02-B
  • Fiberlink 101
  • GPON ONU
  • Greatek
  • GWR 120
  • Huawei
  • Intelbras WRN 150
  • Intelbras WRN 240
  • Intelbras WRN 300
  • LINKONE
  • MikroTik
  • Multilaser
  • OIWTECH
  • PFTP-WR300
  • QBR-1041 WU
  • Roteador PNRT150M
  • Roteador Wireless N 300Mbps
  • Roteador WRN150
  • Roteador WRN342
  • Sapido RB-1830
  • TECHNIC LAN WAR-54GS
  • Tenda Wireless-N Broadband Router
  • Thomson
  • TP-Link Archer C7
  • TP-Link TL-WR1043ND
  • TP-Link TL-WR720N
  • TP-Link TL-WR740N
  • TP-Link TL-WR749N
  • TP-Link TL-WR840N
  • TP-Link TL-WR841N
  • TP-Link TL-WR845N
  • TP-Link TL-WR849N
  • TP-Link TL-WR941ND
  • Wive-NG routers firmware
  • ZXHN H208N
  • Zyxel VMG3312
Como se proteger?

Imediatamente, mude sua senha de admin no dispositivo, especialmente se você usa password default do fabricante ou considera que sua senha é fraca. Recomenda-se também atualizar o firmware do produto, além de verificar nas configurações se o DNS foi alterado.

Fonte: Netlab 360/techtudo.


Cadastre-se em nossa Newsletter

XBASH: Servidores Linux e Windows são o alvo desse novo ransomware.

XBASH: Servidores Linux e Windows são o alvo desse novo ransomware.

XBASH: Servidores Linux e Windows são o alvo desse novo ransomware.

Descoberto pela Unit42 da Palo Alto Networks, equipe de especialistas e laboratório de inteligência contra o cibercrime, o XBASH possui recursos de ransomware e de mineração de moedas, recursos de autopropagação (ex: WannaCry ou Petya / NotPetya), além de  recursos ainda não implementados que podem permitir sua rápida propagação dentro da rede de uma organização, exatamente como o WannaCry ou o Petya / NotPetya.

Basicamente, o ransomware se aproveita de senhas fracas e vulnerabilidades não corrigidas.

As organizações podem se proteger contra o Xbash por:

  1. Usando senhas fortes e não padrão;
  2. Mantendo-se atualizado sobre atualizações de segurança;
  3. Implementando a segurança do terminal nos sistemas Microsoft Windows e Linux;
  4. Impedindo o acesso a hosts desconhecidos na Internet (para impedir o acesso a servidores de comando e controle “command and control”);
  5. Implementar e manter processos e procedimentos de backup e restauração rigorosos e eficazes.

Maiores informações podem ser obtidas diretamente no post da Unit42, pelo link: bit.ly/xbash-unit42.

Fonte: Unit42 Blog/CiberSecurity.


Cadastre-se em nossa Newsletter

Vulnerabilidades MikroTik – Atualizações

Vulnerabilidades MikroTik – Atualizações

ATUALIZAÇÃO: Vulnerabilidades MikroTik.

 

Aumentou para quase 20% o número de roteadores Mikrotik capturados numa botnet formada para a mineração da criptomoeda Monero, recentemente descoberta pela Trustwave. E até este domingo (05/08), o número de roteadores Mikrotik a serviço da botnet no mundo inteiro subiu de 72.187 para 85.499, ou seja, 92 dispositivos por hora.

Curiosamente, a maior parte dos dispositivos contaminados está instalada no Brasil, com um total de 81.140 hoje contra 71.011 no dia 31/07, data da descoberta. Um dos roteadores capturados atende o servidor web de um hospital, cuja identidade não foi revelada pelo pesquisador da Trustwave.

Em detalhes: A botnet está contaminada com o malware Coinhive, responsável pela escravização de dispositivos, visando utilizá-los na mineração da criptomoeda Monero. Até este último update, ainda não se sabe quem está por trás desta botnet. A única certeza, é que ela tem o objetivo de favorecer esta atividade de mineração, que consome recursos de computação e também energia elétrica.

A lógica dos criminosos, é de que quanto mais máquinas fazendo mineração, maiores as probabilidades de lucro para quem controla a rede.



Cadastre-se em nossa Newsletter

Você sabe quais são os dez tipos de phishing mais comuns?

Você sabe quais são os dez tipos de phishing mais comuns?

Conheça quais são os dez tipos de phishing mais comuns e entenda porque eles nunca saem de moda.

 

O phishing é e continuará sendo um dos principais vetores de ataque para roubo e sequestro de dados. Isso se deve porque sua estratégia de criação é rápida e permite não só o emprego de técnicas sofisticadas de cibercrime, como também pode “surfar” na onda de eventos políticos, sociais e etc.

Empresas e usuários estão cada vez mais na mira dos atacantes. E para as organizações, é necessário acompanhar a evolução das tecnologias de proteção contra o cibercrime. Já os usuários, devem ficar atentos pois qualquer descuido, pode ser crucial para o sucesso destes criminosos. Conheça abaixo os dez tipos de phishing mais comuns:

Falsos e-mails ou mensagens

O tipo mais comum. Quer um exemplo prático? O usuário recebe uma mensagem dizendo que seus dados precisam ser atualizados, pois a conta bancária pode ser desativada, e muitas pessoas acabam caindo pois os hackers enviam e-mails que parecem ser de empresas reais, como bancos. Sua ação principal é fazer com que o usuário clique em um link, este que leva a um endereço fraudulento. Veja abaixo um tipo de golpe aplicado pelo WhatsApp.

Foto: Thássius Veloso/TechTudo.

Phishing do Dropbox

Possui uma conta no Dropbox? Preste atenção pois seu armazenamento de arquivos importantes e particulares por lá pode ser comprometido, pois os criminosos usam falsos endereços que parecem vir do serviço de storage, que o levará a fazer login em um site fraudulento.

Ataque aos arquivos do Google Docs

Não só usuários comuns, mas também empresas passaram a armazenar documentos importantes no Google Drive. E isso tem feito com que os cibercriminosos também mirem esta plataforma.
O plano é basicamente o mesmo do phishing do Dropbox: um falso e-mail que parece ser da equipe do Google pede para que o usuário clique em um link falso.

Empresa grande? O prêmio e o peixe são ainda maiores!

Quando o assunto é atingir corporações, os criminosos visam atacar com phishing primeiro aqueles que ocupam os cargos mais altos. E quando conseguem ter acesso a esses e-mails, logo várias mensagens são espalhadas, solicitando arquivos importantes aos colaboradores, que respondem prontamente aos seus superiores. E em questão de minutos, boom!! Os atacantes já conseguiram acessar informações confidenciais da empresa, e além do roubo de dados, podem acontecer perdas financeiras.

Phishing por ransomware

O ransomware está em alta, e com forte tendência em se consolidar como um dos mais poderosos vetores de ataque atualmente. Com variantes muito mais danosas que o trivial “sequestro” de dados, alguns atacantes podem até destruir remotamente partes da infraestrutura, caso o cliente se negue a pagar o resgate.

No ransomware, o usuário também recebe um link fraudulento mas, em vez de ser redirecionado a um site falso, ele acaba instalando um malware no computador. O objetivo não é exatamente roubar apenas as informações, mas também tornar todos os dispositivos  infectados, indisponíveis para uso. E para ter acesso a todos seus arquivos novamente, é preciso pagar por um resgate aos criminosos.

Confira um divertido vídeo sobre ransomware, com oferecimento de nosso parceiro WatchGuard:

 

Pharming

Uma variante muito perigosa de phishing, pois ele ataca o servidor DNS, principalmente de empresas. O ataque pode ser ou com a instalação de um cavalo de troia em algum computador host ou diretamente na rede. A partir daí, qualquer endereço de site, mesmo que pareça confiável, pode levar a páginas fraudulentas sem que o usuário desconfie. Assim, os hackers conseguem coletar informações de várias pessoas ao mesmo tempo.

 

Bitcoins

Com as criptomoedas em alta, os cibercriminosos logo perceberam que seria um interessante meio de aplicação de golpes por phishing. Os hackers têm utilizado truques como sites disfarçados de serviços de câmbio ou e-mails com oportunidade de compra que são tentadoras, mas totalmente falsas.

Spear Phishing

Esse tipo de golpe visa atingir um número menor de pessoas, mas a chance de sucesso termina sendo maior. São enviadas a poucas pessoas mensagens personalizadas, com informações bem convincentes, como nome, sobrenome e outros dados, que levam o usuário a acreditar que está recebendo um e-mail legítimo de alguém familiar. Os golpistas podem até falsificar endereços de sites conhecidos, o que dificulta perceber que está se caindo em um golpe.

Smishing SMS

O alvo aqui são exclusivamente os celulares. O smishing é um tipo de phishing que chega por mensagens de texto supostamente enviadas por empresas conhecidas que oferecem prêmios que não existem. Como das outras formas de golpe, a pessoa clica em algum link malicioso e é induzida a digitar dados pessoais, incluindo número do cartão de crédito.

“Vishing” ou Voice Phishing?

Aqui, mais uma vez, o telefone, móvel ou fixo, é a forma usada para atacar as vítimas, Os criminosos criam uma mensagem automática e fazem repetidas ligações para vários números diferentes. Mais uma vez, sob o pretexto de serem empresas (e principalmente bancos), persuadem as pessoas a digitarem ou informarem dados pessoais.

Fonte: techtudo.


Cadastre-se em nossa Newsletter

VPNFilter – Atualizações e comunicados do Ministério Público.

VPNFilter – Atualizações e comunicados do Ministério Público.

Em comunicado, Ministério Público reforça pedido para que todos brasileiros reiniciem os seus roteadores.

 

Há oito meses, o Ministério Público do Distrito Federal e Territórios (MPDFT), em parceria com a Polícia Civil do Distrito Federal (PCDF), vem investigando fraudes cometidas com o uso de roteadores infectados.

Em comunicado, o departamento de comunicação do MPDFT, informa.

A Comissão de Proteção dos Dados Pessoais do Ministério Público do DF e Territórios (MPDFT) alerta que os roteadores domésticos e de home office estão sob risco de infecção pelo malware VPNFilter. Para ajudar a combater o vírus, todos os proprietários brasileiros devem reiniciar os aparelhos para interromper temporariamente o vírus e ajudar na identificação potencial de roteadores infectados.

O MPDFT recomenda, ainda, a desativação das configurações de gerenciamento remoto e o uso de senhas fortes. Também é importante atualizar o software (firmware) do roteador. Os aparelhos infectados podem coletar dados pessoais, bloquear o tráfego de internet e direcionar os usuários para sites falsos de instituições bancárias e de e-commerce. O objetivo é cometer fraudes.”

Acesse aqui maiores informações sobre o procedimento de investigação criminal do MPDFT.

Fonte: Ministério Público do Distrito Federal e Territórios.


Cadastre-se em nossa Newsletter

VPNFilter – A propagação de malware que afetou milhares de usuários. Entenda.

VPNFilter – A propagação de malware que afetou milhares de usuários. Entenda.

Polícia federal dos EUA diz que hackers comprometeram 500 mil aparelhos em 54 países, e pede que dispositivos sejam resetados para interromper o malware e ajudar na identificação de aparelhos infectados.

 

O FBI, a polícia federal americana, emitiu um alerta informando que hackers estrangeiros propagaram um malware capaz de comprometer “centenas de milhares de roteadores de casas e escritórios”. Nomeado VNPFilter, este malware tem impacto significativo e é capaz de recolher informações que passam pelos roteadores além de torná-los inoperantes.

“O FBI recomenda a qualquer proprietário de roteadores em escritórios pequenos e casas devem resetar seus aparelhos para interromper temporariamente um malware e ajudar com a possível identificação de dispositivos infectados”, disse a agência em um comunicado oficial e também na conta do Twitter.

Post no Twitter – FBI

O VPNFilter é um malware modular altamente sofisticado que usa vários estágios para ganhar persistência, se comunicar com servidores C2 e baixar módulos adicionais de malware especializados. O primeiro estágio do malware difere da mesa categoria, típica de IoT, pois ele pode ganhar persistência no dispositivo afetado, o que significa que o dispositivo continua infectado por meio de uma reinicialização. Depois de ganhar uma posição segura, o primeiro estágio tenta localizar e baixar o segundo estágio do malware por meio de métodos redundantes, incluindo endereços IP ocultos em imagens do Photobucket e um domínio codificado. Se todos os métodos de download ativos falharem, o malware detectará um pacote de rede especial contendo mais instruções.

Entre os dispositivos afetados pelo VPNFilter, encontram-se os equipamentos dos fabricantes Linksys, MikroTik, NETGEAR e TP-Lynk.

Apenas relembrando, malwares são softwares maliciosos programados para se infiltrar em um computador alheio de forma ilícita. Vale a pena ficar atento a qualquer comportamento anormal de conexão, assim como aos links acessados em navegadores e clientes de e-mail.

Fonte: Secplicity e G1.


Cadastre-se em nossa Newsletter

Palo Alto Networks fortalece conceito de segurança como serviço.

Palo Alto Networks fortalece conceito de segurança como serviço.

Depois de anunciar o Palo Alto Networks Application Framework, plataforma integrável de firewall que permite às organizações identificar e prevenir ameaças rapidamente, a Palo Alto Networks anuncia a primeira aplicação disponível.

 

Com o conceito de market place para soluções de segurança, o Palo Alto Networks Application Framework está aberto para receber soluções de segurança conforme a necessidade do cliente, que pode consumir no formato as a service. A companhia possui parceria tecnológica com mais de 30 fornecedores de tecnologias, para o desenvolvimento de aplicações visando agregar visibilidade à plataforma. Segundo Arthur Capella, country manager da Palo Alto Networks no Brasil, outras aplicações serão lançadas a partir do segundo semestre deste ano.

Segundo o executivo, a ideia é proporcionar outra forma de se oferecer segurança ao mercado. “A ideia é incentivar essa mudança de consumo de segurança para que o usuário consuma como appliance sem ter necessariamente de investir em hardware, de forma escalada”, pontua.

Aplicações

O Magnifier é uma aplicação baseada em nuvem com recursos comportamentais analíticos e vendida como serviço por assinatura. Além disso, o produto aplica recursos de machine learning para redes, endpoints e dados na nuvem, detectando de forma precisa e prevenindo ataques, abusos internos e comprometimento destes endpoints na rede.

A ideia, segundo o engenheiro responsável pela área técnica da companhia no Brasil Daniel Bortolazo, é que as aplicações sejam abertas e toda empresa, sendo concorrente, cliente ou parceira, possa desenvolver produtos para a plataforma. “Temos parceiros tecnológicos que com os APIs abertos podem desenvolver, já que os logs ficam na plataforma”. Segundo Bortolazo, os clientes potenciais da solução são Data Centers, ambientes de IoT e de cloud.


Cadastre-se em nossa Newsletter

Até 2020, qual o futuro do mercado de soluções CASB?

Até 2020, qual o futuro do mercado de soluções CASB?

O mercado de soluções CASB está repleto de fornecedores, sendo que alguns executam bem todas as principais funções requeridas, enquanto outros optam por se concentrar em apenas algumas. Vejamos mais sobre este mercado e como ele se comportará num futuro próximo.

 

Primeiramente, você sabe o que é CASB?

O Gartner define o mercado de Cloud Access Security Broker (CASB) como produtos e serviços que fornecem visibilidade do uso geral de aplicativos em nuvem, proteção de dados e governança para aplicativos de nuvem sancionados por empresas. Essa tecnologia é o resultado da necessidade de garantir a adoção significativa de serviços em nuvem e o acesso a eles de usuários dentro e fora do perímetro seguro da empresa.O CASB fornece recursos que são diferenciados e geralmente não estão disponíveis em outros controles de segurança, como firewalls de aplicativos da Web (WAFs), gateways da Web seguros (SWGs) e firewalls corporativos. A filosofia de design do CASB reconhece que, para serviços em nuvem, o alvo de proteção é diferente: os dados são seus, mas processados ​​e armazenados em sistemas que você não possui. Os CASBs fornecem uma política e governança consistentes ao mesmo tempo em vários serviços de nuvem, para usuários e dispositivos, além de visibilidade e controle detalhados das atividades do usuário e dos dados confidenciais.

Os CASBs regem principalmente aplicativos corporativos de back-office de SaaS, como plataformas de colaboração de conteúdo (CCPs), CRM, RH, ERP, service desk e aplicativos de produtividade (ex: Salesforce, Microsoft Office 365 e Google G Suite) usados ​​por todas as verticais de negócio. Os CASBs fornecem um ponto de controle consistente e conveniente sobre a atividade do usuário e os dados do usuário em um conjunto crescente de SaaS e outros aplicativos baseados em nuvem. Eles apoiam cada vez mais o controle do uso de redes sociais corporativas e podem impor controle adicional sobre os consoles para ofertas populares de infraestrutura como serviço (IaaS), como Amazon Web Services (AWS) e Microsoft Azure. Alguns fornecedores fornecem a capacidade de estender os recursos de segurança de dados e proteção contra ameaças a aplicativos personalizados em nuvens de IaaS e de plataforma como serviço (PaaS).

 

Os quatro pilares do CASB

Como principais funções requeridas, o mercado de CASB determina que as soluções possuam como entregáveis os seguintes atributos:
  • Visibilidade. Os CASBs fornecem uma visão consolidada do uso do serviço de nuvem de uma organização e os usuários que acessam dados de qualquer dispositivo ou local. 
  • Segurança de dados. Os CASBs fornecem a capacidade de aplicar políticas de segurança centradas em dados para impedir atividades indesejadas com base na classificação, na descoberta de dados e no monitoramento das atividades do usuário quanto ao acesso destas informações confidenciais ou escalonamento de privilégios. 
  • Proteção contra ameaças. Os CASBs impedem que dispositivos, usuários e versões de aplicativos indesejados acessem os serviços de nuvem, fornecendo controles de acesso adaptáveis. 
  • Conformidade. Os mandatos de conformidade, seja da legislação do governo, regras de agências externas ou requisitos internos de conformidade, não desaparecem quando se muda para a nuvem (mesmo que uma quantidade razoável de dívida técnica no local).

 

O futuro do mercado de CASB

Até 2020, 60% das grandes empresas usarão um CASB para administrar serviços em nuvem, contra cerca de 10% do que se registra hoje. Uma outra estimativa é de que até 2020, pelo menos 99% das falhas de segurança na nuvem serão culpa do cliente.

Em busca de uma solução de CASB eficiente?

Uma pergunta comum de muitos clientes do Gartner é qual arquitetura técnica é melhor: somente API, somente proxy ou multi-modo. Não existe resposta única para essa pergunta, pois a seleção de produtos deve ser orientada por casos de uso, não por arquitetura técnica.
E com base nesta visão consultiva do Gartner, podemos formular outra pergunta tão importante quanto.

Porque não considerar uma solução CASB completa e com mais potencial do que seus concorrentes?

A arquitetura de proxy multi-protocolo Bitglass com o CASB Zero-Day assegura a proteção contra riscos conhecidos e desconhecidos de vazamento de dados e ameaças de malware, em aplicativos gerenciados e não gerenciados, bem como em dispositivos gerenciados e não gerenciados.

Reforçando a prevenção de vazamento de dados, seus mecanismos de controle de acesso e DLP são combinados com várias ações de correção que permitem estender o acesso a dados confidenciais, sem abrir mão da visibilidade e do controle. As ações de correção incluem quarentena, somente visualização, redigir, DRM, criptografar, rastrear / marca d’água e muito mais.

Conheça mais sobre a BitGlass. Aproveite também para ler a análise completa do mercado de CASB feita pelo Gartner.

 

Fonte: Gartner/BitGlass

 


Cadastre-se em nossa Newsletter

Qwerty Ransomware: O vilão é o acesso remoto?

Qwerty Ransomware: O vilão é o acesso remoto?

Novo ransomware Qwerty usa GnuPG para criptografar os arquivos do usuário

Descoberto originalmente pelo MalwareHunterTeam, ele é instalado manualmente pelo atacante quando via acesso remoto ao computador da vítima, pelo serviço Remote Desktop Services.

A técnica de sequestro do Qwerty, se baseia em utilizar o programa GnuPG para criptografar os arquivos do usuário no computador infectado. O GnuPG é um programa legítimo que está sendo usado ilegalmente pelo ransomware Qwerty. E o fato do Qwerty usar este programa não é bem uma novidade, pois ele já foi usado anteriormente por ransomwares como o VaultCrypt e KeyBTC.

Composto por diversos arquivos individuais,os quais para criptografar os arquivos no computador são executados simultaneamente, incluem-se o executável gpg.exe, o executável shred.exe, o arquivo de lote key.bat que gera as chaves, o arquivo run.js e o arquivo find.exe:

 

E na prática, como ele age?

O primeiro arquivo executado é o key.bat. Ele age executando vários comandos de forma sequencial para o ransomware. Quando o key.bat é executado, as chaves serão importadas.

Depois que as chaves forem importadas, o key.bat executará o arquivo run.js. Este arquivo por sua vez executará o find.exe, que é o principal componente do ransomware Qwerty.

O find.exe especificará a letra do drive que será criptografado e executará os seguintes comandos:

taskkill /F /IM sql /T
taskkill /F /IM chrome.exe /T
taskkill /F /IM ie.exe /T
taskkill /F /IM firefox.exe /T
taskkill /F /IM opera.exe /T
taskkill /F /IM safari.exe /T
taskkill /F /IM taskmgr.exe /T
taskkill /F /IM 1c /T
vssadmin.exe delete shadows /all /quiet
wmic shadowcopy delete
bcdedit.exe bcdedit /set {default} bootstatuspolicy ignoreallfailures
bcdedit.exe bcdedit /set {default} recoveryenabled no
wbadmin.exe wbadmin delete catalog -quiet
del /Q /F /S %s$recycle.bin

Em seguida ele começará o processo de criptografia de cada drive detectado com o comando abaixo:

gpg.exe –recipient qwerty -o “%s%s.%d.qwerty” –encrypt “%s%s”

Os arquivos criptografados receberão a extensão .qwerty depois que o processo todo for concluído. Por exemplo, uma imagem teste.jpg ficará com a extensão teste.jpg.qwerty.

Depois que os arquivos forem criptografados, o shred.exe será executado para sobrescrever os originais:

shred -f -u -n 1 “%s%s”

É importante destacar que os arquivos só são sobrescritos uma única vez, o que torna possível recuperá-los usando um software especializado em recuperação de arquivos.

O pedido de resgate do ransomware Qwerty no arquivo README_DECRYPT.txt contém instruções para que a vítima entre em contato através do email cryz1@protonmail.com para receber as informações de pagamento.

No momento não existe uma ferramenta para ajudar o usuário a desbloquear os arquivos sem pagar o resgate.

 

Fonte: Bleeping Computer

 


Cadastre-se em nossa Newsletter

Ransomware Annabelle: Tudo o que você precisa saber sobre ele!

Ransomware Annabelle: Tudo o que você precisa saber sobre ele!

Descoberto pelo pesquisador Bart, este Ransomware é capaz de literalmente “ferrar” seu computador. Inspirado na franquia de terror, este mais nova variante do vetor de ataque foi desenvolvida para além de obter lucro com o resgate, testar as habilidades do usuário e das tecnologias de proteção do sistema.

Sua principal característica é a desativação de softwares de segurança instalados na máquina (ex: Windows Defender). E além de executar a tradicional criptografia dos arquivos, ele ainda se espalha por dispositivos de armazenamento USB, chegando em alguns casos até sobrescrever setores mestre de inicialização da máquina. Tal atividade, gera um bootloader personalizado mascarado como legítimo.

E na prática, como ele age?

Em sua primeira execução, o Annabelle configurará o Windows para que ele inicialize quando o usuário fizer logon no sistema. Após isso, ele iniciará a desativação de uma série de programas presentes, como por exemplo:

  • Process Hacker;
  • Process Explorer;
  • Msconfig;
  • Task Manager entre outros.

E não pára por ai! Ele ainda irá executar configurações alterando as entradas de registro do Windows, visando bloquear o acesso dos usuários aos aplicativos acima. Na sequência, tentará se espalhar pelo sistema utilizando arquivos autorun.inf (nas versões mais antigas). Já nas atuais, ele partirá para a criptografia direta dos arquivos.

Utilizando a chamada “chave estática”, o conteúdo bloqueado aparecerá com a extensão .ANNABELLE.

 

Após finalizada a criptografia, o Ransomware forçará a reinicialização do sistema. E no retorno da sessão, quando o usuário fizer logon será exibida a seguinte tela:

 

Como resgate, os cibercriminosos responsáveis pelo ataque cobram a quantia de 0,1 Bitcoin por arquivo.

 

Recomendamos a verificação contínua de anexos de e-mail, links recebidos por e-mail e arquivos compartilhados via pendrive, pois estas são as principais portas de entrada destas ameaças que irão reter os seus dados, além de cobrar caro para devolve-los.

Não caia em falsas promessas de aplicativos que dizem recuperar seus itens criptografados. Consulte sempre um especialista em Segurança da Informação.


Cadastre-se em nossa Newsletter