Como remover malware de pen drive

pendrive_malwareExiste um tipo de praga que vem perturbando a vida de muitos usuários de mídias flash há anos. Trata-se de um malware que infecta o pen drive e converte documentos e programas em meros atalhos. Tal atividade impede que o usuário abra qualquer coisa e muitas vezes leva a uma atitude desesperadora: a formatação da unidade removível.

A solução do problema não é tão complicada e pode poupar algumas dores de cabeça. Primeiramente, vale salientar que o malware não apaga nenhum arquivo do pen drive. Esta praga apenas oculta documentos e cria atalhos falsos, por isso mantenha a calma.

Agora que sabemos que os arquivos, em teoria, estão no pen drive, devemos verificar se o problema em questão está relacionado ao malware. Para averiguar se seus arquivos continuam na unidade, veja se no ícone do pen drive (disponível em “Meu Computador”) o espaço utilizado continua idêntico ao que era anteriormente à contaminação.

Caso o Windows informe que a unidade está vazia, então é possível que o malware que você pegou seja outro. Do contrário, a execução dos passos a seguir deverá resolver seu problema.

Recuperando arquivos

1. Abra o Prompt de Comando (basta pressionar a tecla “Windows” e então inserir o comando “cmd.exe”).

2. Já no Prompt, digite o seguinte comando: “attrib -h -r -s /s /d I:\*.*” (Nota: a letra “I” deve ser substituída pela letra atribuída ao seu pen drive).

Método manual

Acesse a pasta que foi afetada pelo malware e clique com o botão direito sobre o arquivo contaminado (que atualmente é um atalho). Abra as Propriedades do arquivo.

Acesse a aba “Atalho” e remova quaisquer informações que não tenham relação com o caminho do arquivo em questão (realizar o processo no item “Destino” e “Iniciar em”). Veja o exemplo abaixo:remover_atalhoFinalmente é altamente recomendável escanear o dispositivo USB bem como o computador com uma boa solução de segurança e ferramentas gratuitas como Malwarebytes, Hitman Pro, Zemana Antimalware e Emsisoft Emergency Kit.

Fonte: Tecmundo

Malware para Android infecta roteadores e redes WiFi via celular

malware_wifiEmbora a existência desses males seja, infelizmente, bastante comum nos aparelhos que rodam Android, um novo malware que ataca indiretamente esses celulares pode causar problemas aos usuários em uma escala muito maior do que a das ameaças atuais. Trata-se de um trojan conhecido como Switcher, que é descrito pelos pesquisadores do Kaspersky Lab como um programa que utiliza o smartphone como ponte para infectar e sequestrar roteadores wireless.

Sim, em vez de monitorar sua navegação na web ou ficar atento a operações financeiras feitas no seu dispositivo móvel, o malware aproveita a conexão do gadget a modens e roteadores – em qualquer ambiente – para tentar tomar controle desses equipamentos de distribuição de internet sem fio. O objetivo da ameaça? Mudar as configurações de DNS do aparelho para redirecionar o acesso de visitantes conectados a esses pontos de rede a páginas maliciosas.

O funcionamento do Switcher é bastante simples e depende tanto da atenção do usuário quanto da proteção dos periféricos para ter sucesso em seu ataque. Para fazer a infecção inicial no celular, o malware se disfarça como dois aplicativos chineses famosos: um que simula as ferramentas de busca do Baidu e outro que finge ser um serviço de compartilhamento e localização de hotspots WiFi. A partir de então, o intruso passa a fazer ataques de força bruta contra a interface de acesso web do roteador que o gadget estiver conectado.

Caso consiga vencer essa barreira, o programa muda automaticamente as duas entradas de DNS para servidores comprometidos, que começam a responder às requisições de acesso com links feitos sob medida para roubar grandes quantidades de informações do internauta. A “vantagem” desse método em cima dos sequestros de aparelhos tradicionais é que o controle sobre o roteador facilita a invasão a uma infinidade de usuários, principalmente em ambientes públicos ou corporativos – podendo atingir também PC e laptops na rede.

De olho na segurança

De acordo com o Kaspersky Lab, o recurso de DNS-hijacking do malware usa funções de JavaScript para tentar adivinhar o password do equipamento, tentando utilizar uma infinidade de combinações padrões de nome de usuário e senha desses produtos, indo desde admin:admin ao nada seguro admin:123456. Ainda que esse acervo básico possa pegar muitos pontos de calças curtas, os pesquisadores da empresa russa dizem que, após avaliar o trojan, ficou claro que ele mira principalmente dispositivos da TP-Link.

Como o trojan é relativamente recente, a Google ou a as fabricantes de roteadores ainda não se pronunciaram sobre o problema. Sendo assim, o mais indicado é que você só baixe aplicativos da loja oficial da Google, fique de olho no endereço de DNS do seu roteador e altere as configurações de usuário e senha regularmente – e sem termos ou palavras óbvias – para frustrar qualquer possível ataque.

Fonte: Tecmundo

Malware usa disfarce de arquivo de imagem e vídeo para enganar usuários do Facebook

fakebook_chamadaO pesquisador de segurança Bart Blaze revelou um malware que tem enganado muitos usuários do Facebook ao se disfarçar de um arquivo de imagem e depois até mesmo de um vídeo do YouTube.

O processo funciona assim: uma conta comprometida da rede social envia através do chat um arquivo de extensão “.svg”, que foi renomeado para lembrar uma foto. O detalhe é que arquivos deste tipo podem conter conteúdo embutido, como JavaScript, por exemplo, coisas que podem ser abertas por um navegador mais moderno.

Após clicar no link da suposta imagem, o usuário é redirecionado a um site falso que tenta imitar o YouTube. Apesar de não ativar nenhum alarme por parte do navegador ou de um possível anti-vírus, o site pede para o usuário baixar uma extensão de codec no Chrome para ver o vídeo.

E é aí que mora o problema. Após a extensão ser instalada, ela ganha a possibilidade de alterar os dados do usuário em relação aos sites que ele visita. De acordo com Bart Blaze, a extensão também passa a espalhar a enviar os arquivos “.svg” para os seus amigos do Facebook.

Não se sabe como isso passou pelo filtro de extensão de arquivo do Facebook, mas a equipe de segurança do site foi já foi notificada do ocorrido. Além disso, a extensão foi removida do Chrome.

Agradecemos ao Davi, colaborador amigo do seu micro seguro, pela referência a essa notícia.

Fonte: Adrenaline

Ransomware é nova ameaça aos smartphones e tablets

ransomware_mobileO ransomware sempre esteve nas manchetes de segurança. O ransomware para Windows chamado Locky estava circulando em fevereiro e infectou muitos hospitais americanos, forçando o desligamento de suas redes. No entanto, o ransomware não está apenas atacando os computadores, mas esta praga está se tornando cada vez mais sofisticada e invadiu também os smartphones e tablets.

Como o ransomware migrou para os smartphones e tablets?

Os cibercriminosos são como as adolescentes que gostam das últimas modas e, neste caso, quiseram também “partir para a tecnologia móvel” utilizando ransomwares. O malware utilizado para atacar computadores está agora mirando os smartphones e tablets.

Quase dois terços dos americanos possui um smartphone e de acordo com um relatório da Ericsson, 70% da população mundial estará utilizando um smartphone em 2020. Este crescente público alvo é ideal para os cibercriminosos porque as pessoas estão armazenando cada vez mais dados pessoais e sensíveis em seus smartphones, o que também significa que estão mais dispostas a pagar um resgate para recuperar os seus dados em caso de ameaça.

Como o ransomware móvel é espalhado?

Já que é difícil que o malware invada a Google Play Store, os desenvolvedores de ransomwares se apoiam com tudo na engenharia social para enganar as pessoas e fazê-las baixar o conteúdo malicioso dos seus sites. Já vimos muitos casos onde o ransomware é disfarçado de um aplicativo antivírus em um site que parece quase idêntico ao Google Play. Primeiro o usuário se depara com uma propaganda enquanto navega e que “informa” que o aparelho está infectado. Tocando na propaganda, será aberta uma página que se parece com a Loja Google Play. Se você olhar com cuidado, verá que o site tem um nome de domínio diferente. O falso site terá um endereço, por exemplo, google.xy e não google.com. O falso aplicativo irá informar à vítima que precisa habilitar o uso de aplicativos de outras fontes (lojas) que a oficial da Loja Google Play.

O ransomware também pode ser disseminado através de falhas ou bugs como o Certifi-gate (malware). Se o ransomware for distribuído via Certifi-gate, um aplicativo malicioso não precisa enganar o usuário e pedir permissão para ser baixado de fora da Loja Google Play. Ele pode obter esta permissão de acesso sozinho.

O que acontece quando o resgate é pago?

Em alguns casos, os aplicativos não descriptografam os dados mesmo que um resgate tenha sido pago. Já foram encontrados casos onde o aplicativo descriptografa os dados após o pagamento do resgate e finge que se removeu do aparelho, mas, na realidade, o ransomware permaneceu oculto no aparelho. Enquanto estiver oculto, ele pode permanecer hibernado por algum tempo, enviando apenas informações ao servidor. Neste caso, os cibercriminosos podem enviar um comando e reativar o ransomware depois de algum tempo.

Agradecemos ao Paulo Sollo, colaborador amigo do seu micro seguro, pela referência a essa notícia.

Fonte: Avast blog

Malware que liga sua câmera e microfone – saiba como se prevenir

malwarePatrick Wardle é um pesquisador de segurança que já trabalhou na NSA, Agência Nacional de Segurança norte-americana. Nos últimos dias, durante uma palestra na conferência Virus Bulletin, em Denver (EUA), ele demonstrou como funciona um dos malwares mais temidos para OS X, sistema operacional presente em MacBooks, e também como contra-atacar softwares maliciosos como esse.

Ativar webcam e microfone de maneira remota em notebooks de usuários desavisados é uma prática, por incrível que pareça, comum no meio cracker. Não é difícil encontrar sites, por exemplo, que vendem pacotes para você assistir webcams ativadas silenciosamente. Por isso, mesmo com todos os meios possíveis para se defender, muitas pessoas optam por bloquear a lente da câmera no notebook — e até Mark Zuckerberg, do Facebook, faz isso.

De acordo com Patrick Wardle, um malware específico para Macs pode gravar em tempo real todas as suas sessões no Skype, FaceTime ou qualquer outro software que transmita vídeo. Para agir sem ser notado pelo usuário, esse malware aproveita que a luz LED da webcam já está acesa durante uma transmissão que você iniciou para ativar a gravação de som e imagem — sim, também existem malwares que ativam a webcam e o microfone remotamente por conta própria, mas não é este o caso.

Wardle disse o seguinte em nota: “Como não há indicações visuais dessa atividade maliciosa (já que o LED estava ligado), o malware pode gravar tanto o áudio quanto vídeo sem o ‘medo’ de ser detectado”.

Nota: esse malware ainda não foi batizado. Outro softwares maliciosos existentes para OS X são: Eleanor e Crisis.

OS X e Windows

Para OS X, usuários podem experimentar o OverSight, desenvolvido pelo próprio Patrick Wardle. A ferramenta monitora o microfone e a webcam de um Macbook para, dessa maneira, alertar sempre que ocorre um acesso ao microfone interno ou qualquer atividade da webcam.

No Windows, existem diversas ferramentas que também monitoram se alguém está gravando o que acontece ao redor de seu computador. Uma delas é a Who Stalks My Cam que, basicamente, faz a mesma coisa que o OverSight. Para baixar os softwares, clique nos links abaixo.

OverSight (para Macbooks e iMacs)

Who Stalks My Cam (para gadgets Windows)

Fonte: Tecmundo 

Alerta: Cuidado com os falsos WinRar e TrueCrypt

winrar-and-truecrypt_fakeComo sempre, é importante ter cuidado quando se faz o download de um software para o seu sistema, mesmo que os nomes utilizados possam parecer confiáveis. É isso mesmo que foi recentemente verificado sobre os nomes do WinRar e TrueCrypt.

A empresa de segurança Kaspersky revela ter detectado um aumento no número de websites que estão compartilhando versões maliciosas do Winrar e do TrueCrypt. Os sites possuem uma aparência idêntica às versões originais e verdadeiras, mas é possível verificar a diferença sobre os domínios utilizados.
Quando se realiza o download das versões modificadas, e a mesma é instalada num sistema, é igualmente instalado um malware que passa a permitir o controle à distância e o acesso à informação no HD.

De acordo com a Kaspersky, o malware já foi detectado em vários países na Europa e África.

Agradecemos ao Paulo Sollo, colaborador amigo do seu micro seguro, pela referência a essa notícia.

Fonte: Tugatech

Crackers usam estratégias de marketing para espalhar malware

hacker_vs_crackersA Avast emitiu um alerta onde aponta que a indústria do malware deixou há bastante tempo de ser um hobby e já é um negócio lucrativo, criado e distribuído por quadrilhas digitais.
A empresa de segurança descobriu que crackers promovem seus serviços em redes sociais, possuem táticas de rebranding e têm até programas de incentivo e marketing de afiliação.

Um exemplo disso são os criminosos que criaram o ransomware Petya e seu irmão mais novo, o Mischa. Seus autores, a organização autodenominada Janus, iniciaram uma estratégia de marketing para promover o uso do seu malware: criaram uma marca e também um programa de incentivo com elevadas recompensas, tornando possível para qualquer iniciante em TI ser capaz de ganhar dinheiro com o cibercrime.

Assim como muitas empresas legais utilizam táticas estratégicas para aumentar a visibilidade da marca, Janus usa seu próprio conjunto de truques para fazer seu malware se destacar dos outros no mercado negro: uma marca, diferenciando-se assim dos concorrentes. Segundo a Avasta, “como já existem milhares de cibercriminosos vendendo seu malware no darknet, reforçar a marca é importante para aqueles que querem tornar-se grandes players“.

Na primeira versão do Petya, a Janus escolheu o vermelho como a cor para a sua marca: a imagem da caveira aparece nos computadores infectados e a imagem pisca a cada segundo, invertendo as cores. Mas, muitas vezes, as empresas fazem rebranding, a fim de alterar a forma como são vistas e consideradas pelo público. Assim, após a primeira versão do Petya, a Janus parece ter passado por um processo desses, optando pela cor verde em lugar do vermelho, revelou a Avast.

Além disso, a Janus criou um programa de marketing de afiliados para a dupla Petya e Mischa. Como a própria organização criminosa descreve, “foi criada uma interface de web simples, onde os afiliados podem ver as últimas infecções, definir preços de resgate, recriptografar seus programas, gerar endereços de bitcoin e chaves para o sistema de pagamento”. A Avast também descobriu que a Janus tem uma equipe de suporte disponível para responder online a quaisquer perguntas que os afiliados possam ter.

Hoje em dia também não é possível promover adequadamente qualquer marca sem mídia social e até os cibercriminosos sabem disso. É por isso que a Janus está no Twitter promovendo seus produtos, e também comentando o que especialistas em segurança estão dizendo sobre a dupla Petya e Mischa em conferências.

“O cibercrime agora é semelhante ao tráfico de drogas na vida real. Você não precisa ser um químico para lidar com drogas; você pode se tornar um negociante associado a uma gangue. Como agora você também não precisa saber como escrever código de malware para distribuí-lo. Você pode simplesmente comprá-lo a partir da darknet e negociá-lo” – desabafou Michal Salat, diretor de Inteligência de Ameaças da Avast.

Agradecemos ao Paulo Sollo, colaborador amigo do seu micro seguro, pela referência a essa notícia.

Fonte: Código Fonte UOL