Qwerty Ransomware: O vilão é o acesso remoto?

Qwerty Ransomware: O vilão é o acesso remoto?

Novo ransomware Qwerty usa GnuPG para criptografar os arquivos do usuário

Descoberto originalmente pelo MalwareHunterTeam, ele é instalado manualmente pelo atacante quando via acesso remoto ao computador da vítima, pelo serviço Remote Desktop Services.

A técnica de sequestro do Qwerty, se baseia em utilizar o programa GnuPG para criptografar os arquivos do usuário no computador infectado. O GnuPG é um programa legítimo que está sendo usado ilegalmente pelo ransomware Qwerty. E o fato do Qwerty usar este programa não é bem uma novidade, pois ele já foi usado anteriormente por ransomwares como o VaultCrypt e KeyBTC.

Composto por diversos arquivos individuais,os quais para criptografar os arquivos no computador são executados simultaneamente, incluem-se o executável gpg.exe, o executável shred.exe, o arquivo de lote key.bat que gera as chaves, o arquivo run.js e o arquivo find.exe:

 

E na prática, como ele age?

O primeiro arquivo executado é o key.bat. Ele age executando vários comandos de forma sequencial para o ransomware. Quando o key.bat é executado, as chaves serão importadas.

Depois que as chaves forem importadas, o key.bat executará o arquivo run.js. Este arquivo por sua vez executará o find.exe, que é o principal componente do ransomware Qwerty.

O find.exe especificará a letra do drive que será criptografado e executará os seguintes comandos:

taskkill /F /IM sql /T
taskkill /F /IM chrome.exe /T
taskkill /F /IM ie.exe /T
taskkill /F /IM firefox.exe /T
taskkill /F /IM opera.exe /T
taskkill /F /IM safari.exe /T
taskkill /F /IM taskmgr.exe /T
taskkill /F /IM 1c /T
vssadmin.exe delete shadows /all /quiet
wmic shadowcopy delete
bcdedit.exe bcdedit /set {default} bootstatuspolicy ignoreallfailures
bcdedit.exe bcdedit /set {default} recoveryenabled no
wbadmin.exe wbadmin delete catalog -quiet
del /Q /F /S %s$recycle.bin

Em seguida ele começará o processo de criptografia de cada drive detectado com o comando abaixo:

gpg.exe –recipient qwerty -o “%s%s.%d.qwerty” –encrypt “%s%s”

Os arquivos criptografados receberão a extensão .qwerty depois que o processo todo for concluído. Por exemplo, uma imagem teste.jpg ficará com a extensão teste.jpg.qwerty.

Depois que os arquivos forem criptografados, o shred.exe será executado para sobrescrever os originais:

shred -f -u -n 1 “%s%s”

É importante destacar que os arquivos só são sobrescritos uma única vez, o que torna possível recuperá-los usando um software especializado em recuperação de arquivos.

O pedido de resgate do ransomware Qwerty no arquivo README_DECRYPT.txt contém instruções para que a vítima entre em contato através do email cryz1@protonmail.com para receber as informações de pagamento.

No momento não existe uma ferramenta para ajudar o usuário a desbloquear os arquivos sem pagar o resgate.

 

Fonte: Bleeping Computer

 


Cadastre-se em nossa Newsletter

Ransomware Annabelle: Tudo o que você precisa saber sobre ele!

Ransomware Annabelle: Tudo o que você precisa saber sobre ele!

Descoberto pelo pesquisador Bart, este Ransomware é capaz de literalmente “ferrar” seu computador. Inspirado na franquia de terror, este mais nova variante do vetor de ataque foi desenvolvida para além de obter lucro com o resgate, testar as habilidades do usuário e das tecnologias de proteção do sistema.

Sua principal característica é a desativação de softwares de segurança instalados na máquina (ex: Windows Defender). E além de executar a tradicional criptografia dos arquivos, ele ainda se espalha por dispositivos de armazenamento USB, chegando em alguns casos até sobrescrever setores mestre de inicialização da máquina. Tal atividade, gera um bootloader personalizado mascarado como legítimo.

E na prática, como ele age?

Em sua primeira execução, o Annabelle configurará o Windows para que ele inicialize quando o usuário fizer logon no sistema. Após isso, ele iniciará a desativação de uma série de programas presentes, como por exemplo:

  • Process Hacker;
  • Process Explorer;
  • Msconfig;
  • Task Manager entre outros.

E não pára por ai! Ele ainda irá executar configurações alterando as entradas de registro do Windows, visando bloquear o acesso dos usuários aos aplicativos acima. Na sequência, tentará se espalhar pelo sistema utilizando arquivos autorun.inf (nas versões mais antigas). Já nas atuais, ele partirá para a criptografia direta dos arquivos.

Utilizando a chamada “chave estática”, o conteúdo bloqueado aparecerá com a extensão .ANNABELLE.

 

Após finalizada a criptografia, o Ransomware forçará a reinicialização do sistema. E no retorno da sessão, quando o usuário fizer logon será exibida a seguinte tela:

 

Como resgate, os cibercriminosos responsáveis pelo ataque cobram a quantia de 0,1 Bitcoin por arquivo.

 

Recomendamos a verificação contínua de anexos de e-mail, links recebidos por e-mail e arquivos compartilhados via pendrive, pois estas são as principais portas de entrada destas ameaças que irão reter os seus dados, além de cobrar caro para devolve-los.

Não caia em falsas promessas de aplicativos que dizem recuperar seus itens criptografados. Consulte sempre um especialista em Segurança da Informação.


Cadastre-se em nossa Newsletter

Monero: Além de minerar criptomoedas, seu hardware também pode estar sendo minado.

Monero: Além de minerar criptomoedas, seu hardware também pode estar sendo minado.

Descoberta pela Unit42, laboratório de especialistas da Palo Alto Networks, a nova campanha lançada pelos criminosos já alcançou cerca de 15 milhões de PC’s ao redor do mundo. Este evento de consiste na disseminação de um vírus para aproveitar os sistemas das vítimas, e realizar a mineração da criptomoeda Monero.

 

Mas afinal, o que é mineração de criptomoeda?

Existem muitas definições sobre mineração de criptomoedas, cada uma diferentemente abordada por sua entidade emissora. No entanto, encontramos uma definição dada pelo professor de programação Ronaldo Prass (G1), bem clara e objetiva, usando o Bitcoin como exemplo que é a seguinte.

“A mineração de criptomoedas é o processo de registar as transações ao “livro” público do Bitcoin, também conhecido como “Blockchain”. As informações armazenadas nessa estrutura servem para confirmar as transações válidas. A rede Bitcoin usa o “Blockchain” para distinguir transações de Bitcoins legítimas de tentativas de reuso de moedas, ou seja, moedas que já foram gastas em outra transação. Esse processo é gerenciado por softwares específicos instalados nos computadores, o seu funcionamento em rede é semelhante ao torrent. Após conectado, o computador do usuário se conecta a um grupo de mineradores para aumentar a capacidade de processamento de dados. Essa rede possibilita que o Bitcoin não dependa de uma estrutura centralizada para a realização das transações. Os usuários que realizarem a mineração serão recompensado com criptomoedas.”

 

E o que nós brasileiros temos a ver com isso?

De acordo com a Palo Alto Networks, o Brasil é um dos países mais afetados. Estima-se que pelo menos 550 mil computadores no país teriam recebido o vírus. Ainda de acordo com as investigações e os relatos apresentados pelas vítimas, os conteúdos nocivos são distribuídos por meio de mensagens publicitárias enganosas, tais como em serviços como o Adfly, por exemplo. Relata-se também configurações padrão dos navegadores, são uma brecha de ataque para que estes anúncios se aproveitem e iniciem um download automático.

Para maiores informações técnicas, acesse este link para consulta direta ao site da Unit42.

 

 

Fontes: G1 e Unit42 Blog.


Cadastre-se em nossa Newsletter

Malware Zumanek: Tudo aquilo que você precisa saber sobre ele.

Malware Zumanek: Tudo aquilo que você precisa saber sobre ele.

Engenhoso trojan de acesso remoto (RAT), convence as vítimas a executarem o primeiro estágio de infecção.

 

Com foco no mercado financeiro nacional de bancos, financeiras e também no novo mercado das criptomoedas, esta nova variante de malware bancário foca no Brasil, e já dá as caras do quanto a engenharia social facilitará a vida do cibercrime.

 

Mas como ele atua?

Como toda ameaça avançada (APT) e se valendo da engenharia social, o Zumanek posiciona-se estrategicamente vigilante estudando seus alvos, visando entregar conteúdo convincente e que conduza a vítima a baixar e executar o primeiro estágio da cadeia de infecção. E esta etapa inicial, consiste no estudo e triagem da máquina onde ele está sendo rodado, e em seguida baixa o conteúdo nocivo para executá-lo.

 

Entende-se que o motivo para que explicar o porquê as detecções são feitas em sua maioria no Brasil, deve-se porque o downloader examina a língua do sistema utilizado pelo usuário e só agir se a entrada corresponder ao idioma ‘pt-br’.

 

Uma outra verificação do malware é para atingir o ponto mais fraco que são os usuários sem proteção antivírus. Antes de tentar fazer o download de qualquer arquivo, o downloader verifica a presença de diferentes anti-ameaças. E no caso da existência de alguma proteção desse tipo, o processo é imediatamente encerrado. Agora, caso não seja encontrado antivírus, segue-se com a sequência de ataque, realizando o download do payload final e sua execução na máquina da vítima.

 

Adiante, passando para a segunda etapa, o arquivo executado fornece ao atacante o controle remoto da máquina da vítima. Então ele realiza o roubo de credencias de acesso a serviços de internet banking e a contas de serviços de criptomoedas.

 

Feita a execução dos arquivos, são enviados diversos comandos à máquina da vítima, podendo o operador também visualizar a tela do usuário, tudo isso a partir dos dados enviados, realizando comandos do tipo screenshot de tela. Dessa maneira, os dados da vítima ficam totalmente expostos.

 

Reforçamos que se deve observar sempre as boas práticas do uso da rede doméstica e corporativa. Pois em nossas rotinas, muitas vezes deixamos para executar atividades pessoais e profissionais em distintos horários, trabalhando em casa ou acessando informações bancárias na rede corporativa.

 

O trânsito de conexões entre redes protegidas e não-protegidas, facilita a injeção de malwares obtidos fora de ambiente controlado, gerando transtornos ao usuário e às organizações que procuram manter o controle sobre o uso seguro de sua infraestrutura.

 

 

Fonte: Security Report.


Cadastre-se em nossa Newsletter

Cuidado com os links de e-mail: Ransomware Scarab à solta.

Cuidado com os links de e-mail: Ransomware Scarab à solta.

Scarab: o mais novo Ransomware, já afetou mais de 12 milhões de contas de e-mails.

Conhecida por ser a maior rede de Botnet do mundo, a Necurs lançou ontem uma nova campanha de Ransomware, batizada de Scarab.

O Scarab é novo e vem sendo detectado com algumas ações pontuais desde junho deste ano. Com linha de ataque similar ao WannaCry, por encriptar os arquivos, ele difere dos demais ataques da categoria por não exigir uma quantia fixa para o resgate. O que diferencia neste caso, é que o preço varia do quão rápido o usuário quer resolver o problema.

Seu modo de mascarar conteúdo malicioso e enganar as vítimas, parte de referências feitas a personagens do seriado Game of Thrones, utilizando palavras como “Jon Snow” e “Samwell” no e-mail. Quanto à região de ataque, a maioria dos disparos foram voltados para Alemanha, Austrália, França e Reino Unido, o que não significa que demais regiões estão seguras.

Todo cuidado é pouco. Assim como outras em outras campanhas de Ransomware, deve-se prestar atenção aos links presentes em todas as mensagens de e-mail recebidas, assim como seus anexos. E visando aumentar sua capacidade, redes de Botnet como a Necurs vem lançando essas campanhas para capturar mais máquinas, dinheiro e usuários desatentos.

Fique de olho!

 

tela de interação do Scarab


Cadastre-se em nossa Newsletter

Cinco dicas importantes para que seu Black Friday não se transforme em sua particular “Black Fraude”.

Cinco dicas importantes para que seu Black Friday não se transforme em sua particular “Black Fraude”.

 

Finalmente chegamos ao tão esperado período comercial que, posteriormente às épocas de Natal e Dia das Mães, vem se consolidando no país como uma importante data para o comércio e a economia.

O termo Black Friday foi utilizado pela primeira vez em 1869, em uma finalidade muito diferente do que conhecemos hoje. Na época, dois especuladores do mercado de ouro, Jay Gould e James Fisk, tentaram assumir o controle de seu segmento nos EUA e acabaram gerando uma pequena crise financeira nacional.

Praticamente um século depois, o termo Black Friday que conhecemos hoje começou a tomar forma. A origem da relação do termo com o período de compras veio da Filadélfia, que por conta do fluxo de volta da viagem de ação de graças, as pessoas começaram a movimentar a economia e fazer com que as ruas e cidades ficassem excepcionalmente movimentadas. Especificamente, o termo “Black” teve sua atual definição ratificada praticamente 20 anos depois, isso porque o dia significava a melhoria das economias das lojas, passando das contas escritas em vermelho, prática utilizada pelos contadores que usavam pra indicar as negativas, pro preto, cor da caneta que indicava as contas positivas.

E nisso, a data foi ficando mais forte. Inclusive influenciando no comportamento de funcionamento das lojas que passaram a criar campanhas gigantes de “teaser”, abrindo as lojas antecipadamente e criando enormes expectativas de preços baixos entre seus clientes.

Agora, o que isso significa para você? A resposta é: Praticamente tudo. Pois com certeza nestes últimos dias, você já projetou comprar algo na próxima sexta-feira. E dependendo de como você comprar, este dia pode se transformar em uma grande dor de cabeça futura.

Mas fique tranquilo, trouxemos para você cinco grandes dicas de como evitar problemas futuros. São passos simples mas efetivos para conduzir você por um processo seguro de compra. Aqui estão eles:

 

#1

Busque sites confiáveis, com boa reputação e avaliação.

Diversos órgãos atualmente prestam serviço gratuito de avaliação de sites e-commerce. Além disso, a própria internet é uma grande rede de avaliação destas lojas, e o testemunho dos consumidores é um grande aliado para desvendar se o vendedor possui boa reputação e avaliação. Fique de olhos atentos aos prazos de entrega e qualidade dos produtos.

#2

Não acredite em ofertas milagrosas! Não existe TV de 52″ por R$ 100,00.

Pode parecer estranho, mas ainda existem casos deste tipo. Pessoas caem facilmente nesta tentação, onde recebem ofertas “milagrosas” sem fazer nenhum juízo de valor sobre a relação preço x produto ofertado. Na tentativa de coletar audiência para suas promoções ou até então envolver o consumidor em compras “casadas” onde não haverá vantagem nenhuma, algumas empresas apelam para este tipo de prática gerando dolo ao cliente.

#3

Recebeu um e-mail de seu banco solicitando atualização de senha? Não caia nessa!

Os antigos já diziam em dia de pagamento: Cuidado na rua! Os bandidos estão aproveitando que as pessoas receberam seus salários. Assim eles ganham “maior fluxo” de dinheiro circulando na rua e maiores oportunidades para lucrar com furtos e roubos.

O mesmo vale para o cibercrime nestas sazonalidades comerciais. Há uma grande circulação de falsos e-mails e SMS, alegando tentativa de fraude em sua conta, com a famosa requisição de “clique aqui para atualizar sua senha”. Não clique! Banco nenhum solicita senha por estes canais para seus clientes. Valide somente estas operações no serviço de internet banking de seu banco ou diretamente na agência.

#4

Não existe 100% de proteção, inclusive na Segurança da Informação.

Sim, isso é verdade. Empresa de segurança que promete 100% de proteção ao seus clientes, está mentindo. Haverá sempre um fator de erro, humano ou tecnológico, por má configuração ou defasagem, que fará com que aquele 0,01% se torne algo gigantesco.

Os sites de e-commerce em sua totalidade rodam aplicações virtualizadas e publicadas sobre servidores. Estes que por via de regra, ainda mais em operações críticas como processamento de pagamentos, necessitam de tecnologia do tipo WAF (Web Application Firewall) e serviços de revisão constante de código além de testes de intrusão para validar seus sistemas.

Porém como infelizmente não sabemos, se todos varejistas eletrônicos investem adequadamente na segurança de seus sistemas, fica a dica para buscar empresas com certificação de segurança visível e referenciada. Caso contrário, o risco só aumenta.

#5

E com um clique errado, o cliente pode se tornar um vetor de ataque. Temos aí concretizado o pesadelo da “Black Fraude”.

Quando do lado de lá, o do varejista, por mais que protegido ainda possa existir 0,01% de chance de violação, imagine do seu? E é claro que, à medida que o alvo vai se tornando maior ele fica mais visível, devemos considerar que você um alvo menor não será atingido? A resposta é: Não!

Imagine a cena em que você se planejou para comprar um smartphone novinho ou aquela TV ultra moderna agora na Black Friday. Porém, na quinta-feira você recebeu um e-mail aparentemente legítimo, avisando que o site em que você está cadastrado, antecipou as promoções. O que você faz? Clica no anúncio e aguarda ser redirecionado para a loja virtual?

Abaixo algumas orientações simples e úteis para se resguardar de ações comuns do cibercrime:

  • URL de destino:

Certifique-se de que ela leva ao destino correto, apenas deixando o ponteiro do mouse sobre o link desejado. Caso ele redirecione para algum domínio duvidoso, desconfie. Não caia nessa armadilha. Isso vale inclusive para links enviados por e-mail marketing.

 

  • Anexos de e-mail:

Não abra qualquer tipo de conteúdo anexo aos e-mails promocionais. Varejistas online, de reputação confiável, não enviam nenhum tipo de documento anexo em suas campanhas de venda.

 

  • Falsas comunicações de e-mail:

É comum o cibercrime disparar campanhas de malwares travestidas de contato “oficial” do varejista eletrônico. Em muitos casos, utilizam-se nomes legítimos de funcionários destas instituições, porém com interfaces maliciosas e redirecionamentos fraudulentos.

E como isso pode se transformar na sua “Black Fraude”?

ROUBO DE CREDENCIAIS

Logins de acesso e senhas bancárias.

 

SEQUESTRO DE DADOS

Criptografia de arquivos e servidores, com liberação mediante extorsão.]

 

CUMPLICIDADE EM CRIMES

Inserção de conteúdo malicioso, visando hospedagem de conteúdo ilícito na máquina sem consentimento da vítima.

 


Cadastre-se em nossa Newsletter