Dilma Locker (ransomware): parece piada, mas não é…

A criatividade sem limites do brasileiro rendeu uma nova e curiosa variação de ransomware, aquele golpe de “sequestro” que criptografa os arquivos do seu computador e só libera acesso novamente mediante pagamento.

O golpe recentemente identificado se chama Dilma Locker, batizado para “homenagear” Dilma Rousseff. Além do nome, ele traz uma foto da a ex-presidente da República, que foi retirada do cargo pelo processo de impreachment em agosto de 2016.

O ransomware tem criptografia na tecnologia AES-256, considerada de difícil acesso. Ele vem disfarçado de arquivos falsos e deve ser encontrado normalmente via email. Arquivos EXE que fingem ser o PDF de um currículo e até um executável que se disfarça como o Acrobat Reader (AdobeRd32) foram identificados até o momento.

Além do aviso “Oops, todos os seus arquivos foram criptografados !!!”, o texto indica que você precisa ler um arquivo de texto com instruções e prosseguir via pagamento em bitcoin. O resgate é de R$ 3 mil e a vítima tem quatro dias para efetuar o pagamento, mas os criminosos dizem ser possível negociar um valor.

Segundo a ameaça em texto, sem o pagamento, os dados sequestrados (documentos, programas e arquivos de imagem, vídeo e texto) serão apagados. No rodapé do aviso, há ainda a mensagem “Eu vivo de crime de computador porque não tenho tantas opções para viver com dignidade dentro do sistema”.

Fonte: Tecmundo

Ransomware brasileiro tem como foco de ataque os Hospitais

teamxratCredenciais roubadas ou fracas de desktop remotos costumam ser usadas para infectar sistemas de pontos de venda com malware, mas recentemente elas também se tornaram um método comum de distribuição para ransomware.

Em março, pesquisadores de segurança descobriram um programa de ransomware chamado Surprise que estava sendo instalado por meio de credenciais roubadas do TeamViewer, uma ferramenta popular para administração remota. Mas a tendência começou muito antes disso, com algumas variações de ransomware sendo distribuídas por meio de ataques de força bruta para descoberta de senhas contra servidores Remote Desktop Protocol (RDP) desde 2015.

Apesar desse método de infecção ter sido inicialmente usado por programas de ransomware relativamente obscuros, recentemente ele foi adotado por um número cada vez maior de cibercriminosos, incluindo aqueles por trás de programas de ransomware com grande alcance como Crysis.

Pesquisadores de segurança da Kaspersky Lab descobriram um novo programa de ransomware que afetou hospitais e outras organizações no Brasil. Eles nomearam a ameaça de Trojan-Ransom.Win32.Xpan e afirmam que foi criada pela gangue TeamXRat (que também se denomina CorporacaoRat), que antes era especializada em trojans de acesso remoto (RATs).

De acordo com a empresa de antivírus, os criminosos da TeamXRat realizaram ataques de força bruta contra servidores RDP conectados à Internet e então instalaram manualmente o ransomware nos servidores hackeados.

“Conectar servidores de desktops remotos diretamente à Internet não é recomendado e realizar ataques de força bruta contra eles não é nada novo; mas sem os controles apropriados para evitar ou pelo menos detectar e responder às máquinas comprometidas, os ataques de força bruta contra RDP ainda são relevantes e algo que os cibercriminosos gostam de fazer”, afirmam os pesquisadores da Kaspersky. “Uma vez que o servidor é comprometido, o invasor desabilita manualmente o app de antivírus instalado no servidor e realiza a infecção em si.”

O Brasil possui mais servidores RDP comprometidos sendo vendidos no mercado negro do que qualquer outro país, sendo seguido por Rússia, Espanha, Reino Unido e EUA.

Felizmente, no caso do Xpan, os autores do ransomware cometeram um erro na sua implementação da criptografia que permitiu à Kaspersky desenvolver um método para recuperar os arquivos afetados sem precisar pagar o “resgate”. Não há uma ferramenta de criptografia que pode ser baixada, mas as vítimas do Xpan são aconselhadas a entrarem em contato com o departamento de suporte da empresa de segurança e pedir por ajuda.

Erros na implementação de criptografia não são incomuns em programas de ransomware, especialmente nos mais novos. No entanto, os desenvolvedores de ransomware costumam ser rápidos em corrigir as falhas e, mais cedo ou mais tarde, o programa acaba usando uma criptografia forte e inquebrável.

Fonte: Computer World