Windows 10S: não tão seguro quanto se imaginava

A Microsoft está lançando o Windows 10 S, uma versão mais segura do SO e que, segundo a própria empresa, não executa nenhum tipo de ransomware conhecido

O ataque realizado em meados de maio com o ransomware WannaCry deixou o planeta inteiro preocupado com a vulnerabilidade de seus sistemas. Como já foi explicado aqui no TecMundo, o ransomware “sequestra” o computador, impedindo o acesso de seus donos que só é liberado mediante o pagamento de quantias em dinheiro, geralmente na forma de criptomoedas.

As principais vítimas do WannaCry foram versões antigas do sistema operacional Windows que não possuíam atualizações de segurança referentes a esse tipo de ransomware. Juntamente com toda essa história, a Microsoft está lançando o Windows 10 S, uma versão mais segura do SO e que, segundo a própria empresa, não executa nenhum tipo de ransomware conhecido.

Acesso limitado

O Windows 10 S é mais invulnerável a certos tipos de ameaças por instalar apenas aplicativos hospedados na Loja do Windows, ou seja, aplicações de procedência conhecida e que não apresentam risco de contaminação. O problema é que, ao testar o novo sistema da Microsoft, um especialista em segurança conseguiu aplicar nele um ransonware em cerca de três horas.

Você não pode nem acessar o prompt de comando para rodar arquivos, nem acessar ferramentas de script, nem o PowerShell. Nada

O experimento foi feito a pedido da publicação ZDNet com um novo Surface Laptop da Microsoft que contém o Windows 10 S. O especialista Matthew Hickey, também cofundador da Hacker House, uma empresa de cibersegurança, considerou fácil invadir o sistema com um ransomware.

Além de não aceitar software que não seja baixado pela Loja do Windows, o novo sistema operacional da Microsoft não permite a execução de nada que não seja essencial, ou seja, você não pode nem acessar o prompt de comando para rodar arquivos, nem acessar ferramentas de script, nem o PowerShell. Nada.

Driblando o sistema

O melhor que devemos fazer é o de sempre: tomar cuidado com o que acessamos usando o computador

Para burlar o Windows 10 S, Hickey executou um código de maneira que o sistema não o considerasse perigoso usando uma técnica chamada DLL Injection por meio de um arquivo do Microsoft Word cheio de macros. Isso permitiu que ele driblasse as restrições da Loja do Windows.

No fim das contas, o Windows 10 S não é a saída perfeita para a grande quantidade (cada vez maior) de ataques por meio de ransomware. A Microsoft ainda não se pronunciou quanto a esse teste e, por enquanto, o melhor que devemos fazer é o de sempre: tomar cuidado com o que acessamos usando o computador e utilizar um bom software antivírus.

Fonte: Tecmundo

Hacker libera chave que descriptografa arquivos sequestrados pelo Petya

O ransomware Petya teve a chave que libera a encriptação de arquivos divulgada por Janus, hacker que desenvolveu o ransomware original. Segundo Janus, ele não teve relação com os últimos ataques — o malware foi “pirateado” por um autor desconhecido, de acordo com o hacker.

Petya e o NotPetya afetaram hospitais, empresas e instituições governamentais com Windows 7

Para refrescar a sua memória: o ransomware Petya e o NotPetya possuem uma diferença primordial. Ambos os malwares criptografam máquinas e pedem bitcoins para a liberação de arquivos. Contudo, o NotPetya apaga os arquivos após o pagamento. Por isso não se recomenda qualquer pagamento relacionado aos ransomwares.

Ainda, o Petya e o NotPetya afetaram hospitais, empresas e instituições governamentais com Windows 7. Mesmo assim, ele foi bem menor que o ransomware WannaCry, que afetou mais de 300 mil computadores em mais de 150 países, mirando versões Windows XP, Server 2003, Windows Vista e Windows 8.

Chave de liberação

O hacker Janus liberou a chave via Twitter. O arquivo para download traz uma encriptação protegida por senha:

Após colocar a senha, a seguinte chave é mostrada (38dd46801ce61883433048d6d8c6ab8be18654a2695b4723).

Não pague ransomware

Não pague ransomware: o mercado do crime virtual gera bilhões de dólares anualmente pelo mundo. Estamos falando de US$ 400 bilhões, segundo a Norton. Apenas no Brasil, em 2016, esse número foi US$ 32 bilhões. Exatamente por isso, podemos afirmar que o cibercrime é um mercado vivo.

Uma das ferramentas que puxa boa parte desse dinheiro é o ransomware, que invade a máquina da vítima, sequestra os arquivos via criptografia e exige uma quantia de dinheiro em bitcoin para liberação dos documentos, vídeos, fotos, senhas e tudo mais que há na máquina.

O que vale é a máxima da prevenção. Manter backups seguros de tudo que possui online, utilizar a nuvem para vários fins e ter, no mínimo, uma boa solução de segurança são alguns dos pontos. Porém, se você mesmo assim teve o seu computador infectado por ransomware, não pague bitcoins aos cibercriminosos e não alimente esse mercado.

Fonte: Tecmundo

Ransomware SLocker ameaça o Android

A onda do momento quando se fala em crimes virtuais é o ransomware. A técnica que resulta no “sequestro” de uma máquina, bloqueando o acesso a ela e exigindo um pagamento como resgate, ganhou fama com o WannaCry e, agora, outras ameaças começam a capitalizar em cima do seu sucesso.

Um desses problemas é o SLocker, uma família de ransomware famosa por agir no mundo mobile já há algum tempo. Na penumbra durante os últimos anos, o SLocker voltou à tona de forma repentina em maio visando a aparelhos com Android. O ransomware é supostamente o primeiro direcionado ao sistema da Google a utilizar criptografia de arquivos e a rede TOR para garantir o anonimato de suas comunicações a partir de um aparelho infectado.

O sistema operacional mais popular do mundo (inclusive mais usado do que o Windows) é um dos mais visados quando se fala em vírus e malware na atualidade, e não demoraria mesmo para que uma ameaça grave surgisse para ele. Apesar de ser capaz de travar o acesso a alguns arquivos do Android e exigir um pagamento para liberá-los, o SLocker já foi controlado.

Isso porque, logo após a sua identificação, ferramentas capazes de desbloquear com sucesso os aparelhos tomados pelo ransomware também foram publicadas, reduzindo assim o seu potencial de risco. Além disso, apenas cinco dias após os especialistas em segurança terem tomado ciência do retorno do SLocker, um suposto responsável por ele foi preso pela polícia na China, o que deve comprometer ainda mais a sua atuação.

Segundo o blog da companhia especializada em segurança digital TrendMicro, graças aos canais de transmissão limitados da nova ameaça para o sistema Android, poucas pessoas foram atingidas pelo SLocker.

Método

Ainda de acordo com a TrendMicro, a amostra do ransomware obtida por eles veio por meio de um aplicativo chamado King of Glory Auxiliary, uma espécie de cheater para o altamente popular game mobile King of Glory.

Ao infectar um dispositivo móvel, o SLocker faz uma busca no Android por arquivos cujo tamanho varie entre 10 KB e 50 MB, evitando com isso bloquear arquivos essenciais do sistema (o que impediria o Android de funcionar) e visando aos arquivos baixados da web, documentos de texto, fotos, vídeos e por aí vai. Após criptografá-los, o ransomware solicita o pagamento de uma determinada quantia para então fornecer a chave capaz de destravar o acesso aos arquivos.

Aparentemente, a ameaça do SLocker está sob controle; afinal, seu possível criador foi preso e já foram publicadas ferramentas capaz de descriptografá-lo. Entretanto, é sempre importante ficar alerta para possíveis variações (ou mesmo “concorrentes”) que possam sugir.

Fonte: Tecmundo

NotPetya é um Cyberweapon. Não é Ransomware

O ransomware NotPetya que criptografou e bloqueou milhares de computadores em todo o mundo ontem e hoje é, na realidade, um limpador de disco destinado a sabotar e destruir computadores, e não ransomware. Esta é a conclusão de dois relatórios separados provenientes dos especialistas da Comae Technologies e da Kaspersky Lab.

Especialistas dizem que NotPetya – também conhecido como Petya, Petna, ExPetr – funciona como um ransomware, mas pistas escondidas em seu código fonte revelam que os usuários nunca poderão recuperar seus arquivos.

Isso não tem nada a ver com o fato de que um provedor de e-mail alemão encerrou a conta de e-mail do operador NotPetya. Mesmo que as vítimas possam entrar em contato com o autor NotPetya, elas ainda não têm chance de recuperar seus arquivos.

O arquivo MFT é irrecuperável.

Agradecemos ao Celso, colaborador amigo do seu micro seguro, pela referência e envio do texto desta notícia.

Fonte: Kaspersky

Europa sob novo ataque Ransomware

Enquanto o WannaCry não morreu, variantes do ransomware começaram a infectar computadores na Europa e na Europa Oriental. Dispositivos de bancos, companhias e fornecedoras de energia da Rússia, Ucrânia, Índia, França, Espanha e Reino Unido foram desligados após a invasão do malware sequestrador que cobra US$ 300 em bitcoins pela liberação de arquivos.

Dois novos ransomwares baseados no WannaCry começaram a sequestrar computadores nesta terça-feira

Se você quiser refrescar a memória, em maio deste ano, o ransomware WannaCrypt (WannaCry) afetou mais de 300 mil computadores em mais de 150 países no mundo. O Brasil foi um dos países afetados, com companhias e instituições governamentais desligando computadores e servidores durante alguns dias — você pode clicar aqui para saber mais.

Caso você não saiba, o ransomware é um tipo de malware que, quando entra em um sistema, restringe o acesso e cobra um valor “resgate” para que o usuário possa voltar a acessá-lo. Por exemplo, ao clicar ou baixar um arquivo malicioso, o computador de uma companhia é completamente compactado via criptografia. As companhias praticamente não têm como pegar novamente esses arquivos, a não ser que pague o valor estabelecido pelo invasor — normalmente em bitcoin. Um modus operandi sofisticado, refinado, que não deixa traços, marcas ou trilhas de quem fez isso.

Ransomware Petya e Cryptolocker

As novas variantes do WannaCry que começaram a atacar vários países pela Europa se chamam Petya e Cryptolocker. Os alvos são os mesmos do WannaCrypt: bancos, companhias grandes e pequenas, instituições governamentais e estabelecimentos de fornecimento de energia para cidades.

De acordo com fontes, especificamente o Petya, ele se utiliza da mesma vulnerabilidade Windows SMBv1, que já havia sido explorada em maio. O Petya age reinicializando o PC de vítimas e encriptando o disco rígido de dispositivos (MFT), além de deixar o master boot record (MBR) inoperante. Segundo um relato do VirusTotal, apenas 13 de 61 softwares de antivírus acusam a infecção pelo Petya.

A Ucrânia acredita que a Rússia está por trás do ataque

Até o momento, os nomes de instituições afetadas pelo Petya e Cryptolocker são: Rosneft (gigante petroleira da Rússia), Kyivenergo e Ukrenergo (fornecedoras de energia ucranianas), Banco Nacional da Ucrânia, a agência de publicidade WPP (Reino Unido), AP Moller-Maersk (companhia dinamarquesa de logística), Saint Gobain (França), Mondelez (Espanha) e várias empresas privadas nos outros países já citados.

O conselheiro ucraniano Anton Gerashchenko comentou que “o objetivo final do ataque cibernético é tentar desestabilizar” o país. Além disso, que esse ataque parece ter saído da Rússia, com quem a Ucrânia possui problemas políticos.

Na luta contra o ransomware

A recomendação do TecMundo é: não pague ransomware. O mercado do crime virtual gera bilhões de dólares anualmente pelo mundo. Estamos falando de US$ 400 bilhões, segundo a Norton. Apenas no Brasil, em 2016, esse número foi US$ 32 bilhões. Exatamente por isso, podemos afirmar que o cibercrime é um mercado vivo.

O que vale é a máxima da prevenção. Manter backups seguros de tudo que possui online, utilizar a nuvem para vários fins e ter, no mínimo, um bom antivírus são alguns dos pontos. Porém, se você mesmo assim teve o seu computador infectado por ransomware, não pague bitcoins aos cibercriminosos e não alimente esse mercado. Existem ferramentas e especialistas em segurança para lhe ajudar.

Agradecemos ao Igor, colaborador do seu micro seguro, pela referência a essa notícia.

Fonte: Tecmundo

Falhas no Windows e Linux são convite à ataques por ransomwares

Mais de um mês após ao ataque do ransomware WannaCry, que atingiu mais de 70 países, uma nova onda de malware que se autopropaga pode estar por vir devido a duas novas vulnerabilidades: uma no serviço de desktop remoto (RDP) do Windows e outra por causa de falha que atinge máquinas Linux com o serviço Samba. O alerta é do Laboratório de Inteligência da Cipher, empresa global de segurança cibernética.

A vulnerabilidade afeta máquinas Windows XP e Windows 2003 Server, sistemas cujo suporte foi descontinuado pela Microsoft. O exploit, chamado EsteemAudit, também foi publicado pelo grupo hacker autodenominado Shadow Brokers, responsável pela divulgação da falha EternalBlue que deu origem ao WannaCry. Cerca de 7% dos computadores pessoais ainda utilizam a versão XP do Windows e estimativas dão conta que 600 mil servidores web ainda estão rodando a versão Server 2003. A Microsoft divulgou atualização para essa falha.

Já o Samba é um serviço do Linux utilizado para compartilhamento de arquivos e compatibilidade com sistemas operacionais Windows, permitindo a troca de arquivos e sessões de comunicação entre os dois sistemas operacionais. A falha também permite a execução de código remoto em dispositivos Linux e a criação de um “wormable malware”, ou seja, um software malicioso que pode infectar outros dispositivos conectados em rede automaticamente.

De acordo com o especialista em cibersegurança da Cipher, Fernando Amatte, é necessário ter cuidado ao conectar um dispositivo à internet. “Valide as regras dos dispositivos que estão expostos e, caso seja necessário o uso do RPD, ele deve ser feito via uma conexão VPN”, alerta.

O grande risco nesse caso está em equipamentos do tipo NAS (Network Attached Storage), que são discos rígidos externos com capacidade de conexão em rede utilizados para armazenar fotos, vídeos e arquivos pessoais. Esses dispositivos utilizam, via de regra, Linux e não possuem processo de atualização automatizada.

“Por enquanto, notamos entre os nossos clientes que os casos relacionados a possíveis problemas são isolados, mas se não formos cautelosos, uma nova gama de ataques pode acontecer. A recomendação é alertar aos gestores para tomarem cuidado e procurar atualizações nos sites dos fornecedores, além de buscar um especialista em segurança da informação para saber o nível de risco de exposição em que a empresa se encontra”, finaliza Amatte.

Fonte: CIO

Ferramentas gratuitas como solução aos ataques por Ransomware

Ferramentas gratuitas podem ser a melhor maneira para recuperar arquivos bloqueados por vírus ransomware sem precisar pagar nada para hackers. Oferecidas na web por fabricantes de antivírus, funcionam online e offline para liberar o computador sem necessidade de pagar o resgate em bitcoins cobrado pelos criminosos. Esse tipo de ameaça veio à tona novamente depois do ataque WannaCry, que afetou milhares de PCs com Windows 10 usando uma falha do próprio Windows.

A solução para voltar a acessar os dados após um ataque de ransomware é uma chave secreta que só o hacker tem. Com isso, o usuário fica refém do criminoso se quiser recuperar suas informações.
A melhor forma de fazer isso é usar um software de descriptografia. Para infectador computadores, normalmente, hackers usam iscas como Netflix de graça ou golpes de phishing que fazem o usuário instalar na sua máquina o próprio vírus.

Confira a seguir uma lista para ajudá-lo a encontrar chaves seguras.

Avast

A Avast oferece uma lista grande de opções (avast.com/ransomware-decryption-tools). São programas que combatem ransomwares como AES_NI, Alcatraz Locker, Apocalypse, BadBlock e Crypt888 Fix — ameaças que apareceram a partir de 2015 e que na sua maioria usa criptografia AES-256 em conjunto com outros tipos de codificação.

AVG

A AVG oferece chaves contra vários ransomwares. Há uma ferramenta para o Tesladecrypt (avg.com/br-pt/ransomware-decryption), código malicioso que não muda a extensão dos itens gravados no HD e acaba tornando a identificação mais demorada por parte do usuário. Há ainda programas para enfrentar SZFLocker, Bart e outros.

No more Ransom

O No More Ranson reúne todas as entidades de segurança que trabalham contra o avanço do ransomware no mundo. Aqui há outra lista de programas de desbloqueiam arquivos no PC. Um destaques vai para o CoinVault Decryptor (nomoreransom.org), uma ferramenta criada pelo governo e pela polícia da Holanda, capaz de desbloquear arquivos atingidos pelos ransomwares CoinVault e Bitcryptor, de 2015.

ESET

A fabricante de antivírus Eset oferece gratuitamente para download o ESET Crysis Decryptor (eset.com/au/download-utilities/), uma arma contra o ransomware Crysis, conhecido também como JohnyCryptor, Virus-Encode, Aura ou Dharma. Esse ransomware usa uma das maiores variedades de extensões na criptografia dos arquivos, mas o software da ESET promete liberar tudo rapidamente sem dor de cabeça.

Kaspersky

No site da Kaspersky há outras várias opções úteis de ferramenta de desbloqueio de arquivos. Uma delas é a Rakhni Decryptor (noransom.kaspersky.com/), uma das mais poderosas disponíveis no mercado. Descriptografa arquivos bloqueados pelos ransomwares: Rakhni, Agent.iih, Aura, Autoit, Pletor, Rotor, Lamer, Cryptokluchen, Lortok, Democry, Bitman (TeslaCrypt) versões 3 e 4, Chimera, Crysis (2 e 3) e Dharma.

Trend Micro

O Trend Micro Ransomware File Decryptor (success.trendmicro.com/) é uma ferramenta capaz de eliminar a ação uma variedade grande de ransomwares, incluindo CryptXXX, TeslaCrypt, Badlock, Stampado, Chimera, Jigsaw, Crysis e o famoso WannaCry. O programa é oferecido gratuitamente no site da fabricante de software de segurança.

McAfee

O programa contra ransomware mais importante disponibilizado pela McAfee é o WildFire Decryptor (mcafee.com/br/downloads). A ferramenta libera aplicativos, bases de dados e outros arquivos infectados com o ransomware WildFire, um trojans traiçoeiro que pede US$ 300 de resgate e triplica a quantia se o depósito não for feito em oito dias.

Fonte: Techtudo