Criptomineradores estão tomando o lugar de ramsomwares

A Kaspersky fez uma previsão no final de 2017 que se concretizou neste ano: os criptomineradores roubaram o primeiro lugar dos ransomwares na lista de ameaças mais temidas entre consumidores e empresas.

“Podemos afirmar que os ransomware estão em declínio”, comentou a empresa. “Apesar de continuarem com seus impactos dramáticos e grande potencial de assustar as vítimas, que vão desde usuários domésticos manipulados por ameaças de arquivos ilícitos e constrangedores em seus computadores até empresas pressionadas a pagarem grandes valores para recuperar acesso a arquivos críticos”.

Alguém que usa secretamente seus recursos eletrônicos pode esconder suas intenções, mas não é possível agir em total sigilo

Segundo dados da Kaspersky, o número de usuários atacados por criptomalwares caiu quase pela metade, de 1,1 milhão em 2016/2017 para 751 mil em 2017/2018. Dessa maneira, os criptomineradores assumiram o lugar: o número de detecções subiu de 1,9 para 2,7 milhões, assim como a proporção de ameaças detectadas, de 3% para 4%.

“Enquanto o ransomware aparece e aterroriza suas vítimas, os criptomineradores fazem de tudo para ficarem escondidos — quanto mais tempo trabalharem, maiores os lucros dos criminosos — e, como resultado, as vítimas podem não notá-los por um tempo”, afirma a Kaspersky. “Se você quiser testar a mineração de criptomoedas, deve levar em conta o impacto. Alguém que usa secretamente seus recursos eletrônicos pode esconder suas intenções, mas não é possível agir em total sigilo. Um computador ou dispositivo móvel que esteja executando esse tipo de atividade pode refletir algumas mudanças sutis ou mais óbvias”.

Se você quiser saber quais são as mudanças que um criptominerador pode causar no seu PC ou smartphone, veja abaixo:

  • A capacidade de resposta do sistema vai ficar mais lenta — já que a memória, o processador e o adaptador gráfico do dispositivo estão atolados para completar as tarefas de mineração
  • As baterias vão acabar muito mais rápido do que antes e os dispositivos podem superaquecer
  • Se o dispositivo tem um plano de dados, os usuários vão ver esse uso disparar

Já para se proteger, melhores práticas:

  • Atualize regularmente o seu sistema operacional e todos os programas. Sugerimos que comece agora
  • Desconfie sempre dos anexos de e-mail. Antes de clicar para abrir um anexo ou seguir um link, reflita: é de alguém que você conhece e confia? É esperado? Está limpo? Passe o mouse sobre os links e anexos para ver como estão nomeados ou para onde realmente direcionam
  • Não instale programas de fontes desconhecidas. Podem conter, e frequentemente contêm, criptomineradores maliciosos
  • Utilize uma boa solução de segurança.
Fonte: Tecmundo

Windows 10 ganha maior segurança na proteção contra ransomwares

A A build 16232 para Windows 10 traz uma função desenvolvida para dificultar o acesso aos arquivos do usuário em ataques de ramsonware (vírus que bloqueia dados com criptografia em computadores e pede resgate em bitcoins), como o WannaCry.

Com isso, é possível restringir o acesso a determinadas pastas para apenas alguns aplicativos. Dessa forma, quando um app que não faz parte da lista de programas autorizados tenta acessar uma pasta, o usuário recebe uma notificação.

Como reverter para compilações anteriores do Windows 10

Além disso, o Windows 10 ganha o Exploit Protection (que impede que vírus explorem falhas do tipo ”zero-day”) e reforços na integração entre Windows Defender e o Microsoft Edge. Participantes do Insider já podem testar as novidades.

Controle ao acesso de pastas com o Windows Defender

Os vírus do tipo ramsonware sequestram os arquivos do usuário e exigem resgate em moedas vituais — bitcoin ou monero, por exemplo — para restaurá-los. As pragas vasculham o disco rígido da vítima e usam criptografia nos arquivos.

Com o Controlled Folder Access é possível definir quais aplicativos têm permissão de acessar determinada pasta. Quando um app que não faz parte da lista de programas autorizados tenta acessar uma pasta, o usuário recebe um alerta. Se o vírus não conseguir ter acesso ao arquivo, não poderá encriptá-lo e exigir resgate.

Application Guard

Além do Controle de Acesso, o usuário vai encontrar reforços na integração entre Windows Defender e o Microsoft Edge: com o Application Guard, o usuário poderá rodar uma sessão ainda mais segura do browser para prevenir ataques via navegador. A ferramenta, no entanto, é destinada a usuários corporativos da versão Enterprise do Windows, voltada ao uso em empresas e redes corporativas.

Exploit Protection

O Exploit Protection é um tipo de proteção imediata do Windows 10 para aplicações que exploram brechas graves de segurança no sistema operacional. A ideia é: quando uma falha severa num app for reportada, o Defender é “avisado” via Internet pela Microsoft e bloqueia a porta de entrada a invasores, até que o problema seja corrigido pelos desenvolvedores do app em questão.

A novidade agora é que os usuários terão mais controle sobre como o Exploit Protection opera, definindo gradações de interferência, além de permitir que o usuário verifique se foi alvo de um ataque por conta de vulnerabilidades do tipo zero-day.

Agradecemos ao Igor, colaborador amigo do seu micro seguro, pela referência a essa notícia.

Fonte: Techtudo

Grande parte dos ransomwares tem DNA russo

cibercriminosoA conferência RSA muitas vezes apresenta informação demais aos participantes. Entre as palestras, exposições, festas e a cidade de São Francisco, há muito o que absorver.

Normalmente, leva um tempo até que um fato bombástico é atirado a plateia, um desses que deixa qualquer um boquiaberto.

Eis que durante a RSAC 2017 Ransomware Summit Anton Ivanov, analista sênior de malware na Kaspersky Lab, soltou a seguinte frase:

Das 62 famílias de cryptos descobertas pela empresa ano passado, 47 foram desenvolvidas por criminosos que falam russo – 75%. O que torna esse número mais impressionante é o fato de que essas famílias de ransomware, de acordo com a telemetria da Kaspersky Lab, atacaram mais de 1,4 milhão de pessoas ao redor do mundo.

Durante essa palestra, Anton examinou a pesquisa da equipe, detalhando aspectos do envolvimento dos cibercriminosos com ransomware (fora a questão de ransomware como um crime).

  • A criação e atualização de famílias de ransomware.
  • Programas afiliados para distribuir ransomware.
  • Participação em programas afiliados por meio de parcerias.

estruturaO que de fato chamou minha atenção é que, se sabemos tanto sobre esse crime, porque ainda o vemos acontecendo? Ivanov apontou que isso se resume ao dinheiro e as barreiras para se entrar nesse mercado. Se você estiver interessado em algo mais técnico, dê um pulo no Securelist, onde essa pesquisa foi mais detalhada.

Protegendo-se do ransomware

Faça backup de seus arquivos religiosamente, na nuvem ou em dispositivo externo. Faça ambos, mas lembre-se: se você estiver logado na nuvem ou o dispositivo externo estiver conectado os ransomware também pode bloqueá-los.

Instale um antivírus que vigie ransomware.

Não abra anexos de remetentes desconhecidos. Seja seletivos sobre quem você confia em termos de documentos e links recebidos por e-mail.

Fonte: Kaspersky blog

Dicas para se proteger do ataque de Ransomwares

RansomwareO ransomware vem ganhando notoriedade entre as ciberameaças. Uma vez que um Trojan de ransomware se infiltra em um sistema, criptografa seus arquivos silenciosamente, incluindo seus documentos valiosos, vídeos e fotos. O processo ocorre em segundo plano de modo que a vítima não tem consciência do que está ocorrendo até que seja tarde demais.

Quando o estrago está feito, o Trojan informa ao usuário que seus arquivos foram codificados. Se a vítima quiser reavê-los, terá de pagar o resgate, que tende a ser um valor exorbitante, normalmente em bitcoins. A maioria das vítimas não possui grande conhecimento e experiência em tecnologia -então a inconveniência é maior, pois também têm de descobrir o que são bitcoins e onde obtê-las.

O que torna o ransomware um esquema particularmente problemático é que os arquivos criptografados ainda estão armazenados no computador do usuário.

Aqui vão algumas dicas simples e importantes para garantir a proteção de seus dados.

1) Tenha certeza de fazer backups regulares de seus arquivos importantes. É altamente recomendável criar duas cópias do backup, uma na nuvem (em serviços como Dropbox, Google Drive, etc.) e outra gravada em uma mídia física (HD externo, pendrive, um notebook extra, etc.)

Uma vez que seu backup esteja pronto, tenha certeza de verificar as restrições para os arquivos: seu dispositivo “Plano B” deve possuir apenas permissões de escrita ou leitura, sem a oportunidade de modificar ou apagar arquivos. O seu backup pode salvá-lo em diversas circunstâncias, incluindo a remoção acidental de arquivos críticos ou falhas de drives.

2) Cibercriminosos distribuem e-mails falsos se passando por uma notificação de lojas online ou bancos, atraindo o usuário para clicar em um link malicioso de modo a distribuir malware. Esse método é chamado de phishing. Com isso em mente, melhore suas configurações de spam e nunca abra um anexo enviado por um desconhecido.

3) Não confie em ninguém. Links maliciosos podem ser enviados por seus amigos nas mídias sociais, por colegas ou parceiros de jogos que tenham sido infectados de uma maneira ou de outra.

4) Habilite opções como “Mostrar a extensão de arquivos” nas configurações do Windows. Isso tornará bem mais fácil distinguir arquivos potencialmente maliciosos. Como Trojans são programas, você deve ficar de olho em arquivos com extensões como <<EXE>>, <<vbs>>, e <<SCR>>.

Você precisa ficar atento, pois muitos tipos de arquivos familiares podem ser perigosos. Cibercriminosos podem usar diversas extensões para mascarar arquivos como vídeos, fotos, ou um documento (como like hot-chics.avi.exe or report.doc.scr).

5) Atualize regularmente seu sistema operacional, navegador e outros programas. Os criminosos tendem a explorar vulnerabilidades em softwares de modo a comprometer os sistemas.

6) Use uma solução de segurança bem referenciada que ofereça proteção a seu sistema do ataque de ransomwares.

7) Se você descobrir um processo clandestino ou desconhecido na sua máquina, interrompa a conexão com a internet imediatamente. Se o ransomware não tiver conseguido apagar a chave de criptografia do seu computador, ainda existe uma chance de que você possa restaurar os arquivos. No entanto, as novas versões desse tipo de malware utilizam uma senha predefinida, então essa dica infelizmente não funcionaria nesse caso.

8) Se você der azar de ter seus arquivos encriptados, não pague o resgate, a menos que que o acesso instantâneo de alguns de seus arquivos seja crítico. De fato, cada pagamento abastece esse negócio ilegal que irá prosperar quando mais pessoas forem pegas neste golpe.

9) Caso seus dispositivos sejam infectados por um ransomware, você devia tentar descobrir o nome do malware: talvez seja uma versão antiga e seja relativamente simples restaurar seus arquivos. Os ransomware eram menos avançados no passado.

A Kaspersky conta com uma ferramenta que possibilita desencriptar seus arquivos sem ter de pagar o resgate. Para verificar se é possível, visite noransom.kaspersky.com.

Agradecemos ao Davi, colaborador amigo do seu micro seguro, pela referência a essa matéria.

Fonte: Kaspersky blog

Ataques de ransomwares direcionados a dispositivos móveis crescem

ransomwareLevantamento da F-Secure mostra que maioria das ameaças batizadas de ransomware acontece em dispositivos que rodam sistema operacional Android

Durante o primeiro semestre de 2014, foi constatado um aumento nos ataques on-line batizados de ransomware, que bloqueiam os dados do usuário até que um resgate seja pago. Porém, o problema começou a atingir também os dispositivos móveis. De acordo com o relatório de ameaças da F-Secure Labs, o número crescente de ataques de software malicioso ransomware ressalta a importância da segurança de dados para usuários domésticos, corporativos e do governo.

Na área da mobilidade, 295 novos tipos de ameaças e variantes foram descobertos no segundo semestre deste ano, sendo 294 no Android e apenas uma no iOS. O número representa uma pequena elevação em relação aos dados obtidos no primeiro trimestre, quando 277 ameaças foram descobertas, sendo 275 direcionadas ao sistema Android. As principais ameaças ao sistema operacional do Google eram Trojans, que enviam mensagens SMS ou colhem dados de um dispositivo e encaminham para um servidor remoto. Entretanto, o número de pessoas atingidas por ramsonwares começa a preocupar.

Nas ameaças para PC, das dez maiores detectadas, a maior parte foi o vírus Downadup/Conficker, conhecido há seis anos, que afeta 31% das máquinas globais. O vírus infectou milhões de computadores em mais de 200 países. A longa existência desse vírus acontece em razão de computadores que executam software antigo, o que ressalta a importância de manter o software do computador atualizado para que falhas de segurança ultrapassadas sejam corrigidas.

Os Macs também foram afetados, com 25 novas variantes de ameaças descobertas no primeiro semestre de 2014, algumas das quais usadas em ataques direcionados contra organizações. Outros 18 tipos de ameaças foram revelados entre julho e dezembro do ano passado, número inferior às 33 descobertas no primeiro semestre de 2013.

Agradeço ao Davi, amigo e colaborador do seu micro seguro, pela referência a essa notícia.

Fonte: ITForum

Cryptowall: o novo bicho-papão da Internet

cryptowallHá algum tempo atrás o malware Cryptolocker estava disseminando ataques em massa aos computadores. o Cryptolocker codificava os arquivos da vítima. Ele normalmente se instalava por uma outra ameaça, como um Worm ou trojan, uma vez instalado, o malware procura por arquivos confidenciais na máquina do usuário infectado e codifica-os. Ao decorrer do ataque uma mensagem era exibida exigindo o pagamento de US$100 ou EUR, a fim de descriptografar os arquivos. A mensagem dizia o seguinte:

“Seus arquivos pessoais estão criptografados!
Foram criptografados vários arquivos importantes produzidos neste computador: fotos, vídeos, documentos, etc… Aqui está uma lista completa de arquivos criptografados, e você pode verificar isso pessoalmente…
Para obter a chave específica para este computador, que vai descriptografar automaticamente esses arquivos, você precisa pagar 100 USD/100EUR/quantidade equivalente em outra moeda”

Depois de bloquear os arquivos de meio milhão de usuários em todo o mundo , o governo dos EUA com o apoio de alguns especialistas em segurança conseguiram apreender os computadores que estavam espalhando o malware. E uma empresa de segurança divulgou uma ferramenta que as pessoas poderiam usar para descriptografar seus arquivos infectados.

Até este ponto, podemos dizer que tudo terminou “bem”, a ameaça foi criada, identificada e neutralizada. Mas a alegria durou pouco. Desde que o Cryptolocker foi tirado do ar, o Cryptowall, ameaça semelhante entrou em ação. A nova ameaça já infectou 625 mil PCs e mais de 5.250 milhões de arquivos.

O Cryptowall utiliza-se de diversas maneiras para infectar uma grande quantidade de computadores em pouco tempo, inclusive por meio de spam com anexos; infectando sites que os usuários visitam, e em seguida realizar o download de programas que já estão infectados com a ameaça. A ameaça pode afetar não apenas os discos rígidos locais, mas também as unidades de armazenamento em nuvem, como o Google Drive, Dropbox, Mega, etc.

A ameaça é tão bem construida que atribui um identificador único para cada infecção e uma única chave que pode ser usada para descriptografar os arquivos, a menos que algúem tenha acesso a todas essas chaves, os donos dos PCs infectados nunca poderão descriptografar os arquivos.

A alternativa no momento é pagar o “resgate” imposto pela ameaça, valor esse de US$ 500 em bitcoins. Isso significa que os usuários infectados tem que realizar o pagamento na nova moeda virtual bitcoin, recurso esse que muitas pessoas nem sabe o que significa. Os números mostram que apenas 0,27% das pessoas infectadas com o Cryptowall pagaram o resgate. Esse número é bem menor em relação aos 1,3 % pagos pelos usuários infectados pelo Cryptolocker, que fizeram o pagamento por outros métodos como por exemplo o MoneyPak.

Os paises mais infectados pelo Cryptowall são:

  • EUA – 253.521 infecções
  • Vietnã – 66.590 infecções
  • Reino Unido – 40.258 infecções
  • Canadá- 32.579 infecções
  • Índia – 22.582 infecções.

As ameaças conhecidas como ransomware, que são as que cobram resgate por arquivos encriptados, mostra a maturidade dos novos malwares que correm pela internet. Uma das maiores dicas de segurança nos dias atuais é criptografar os arquivos, e agora torna-se a maior arma para as ameaças.

Agradeço ao Paulo Sollo, amigo e colaborador do seu micro seguro, pela referência a essa notícia.

Fonte: Guia do Hardware

Ransomwares continuam a representar um grande risco

ransomwareNo final do ano passado, um malware chamado Cryptolocker começou a assombrar os EUA. Um alerta chegou a ser emitido pelo US-CERT, equipe norte-americana que lida com emergências na área de segurança virtual, o que mostrou que o caso era de fato bem grave. Mas o que o malware tinha de especial para chamar tanta atenção, fora o fato de ter se espalhado rapidamente? Simples: ele era um ransomware, tipo de ameaça que “sequestra” computadores e arquivos, cobrando um resgate relativamente alto para liberá-los.

Mas o termo, que vem de “ransom” (“resgate”, em inglês) não é exatamente novo, com menções a ele datadas de pelo menos oito anos atrás. A popularização dos malwares do tipo, no entanto, é bem mais recente: em junho do ano passado, por exemplo, a McAfee notou que o número de malware sequestradores detectados havia dobrado em relação ao mesmo período de 2012. E mais para o final do ano, a ESET viu um aumento de 200% no total de ransomware entre junho e setembro de 2013.

O interessante é que, junto da popularização, houve também um aprimoramento no funcionamento dessas ameaças, como explicou a INFO Raphael Labaca Castro, coordenador de Awareness & Research da ESET na América Latina. Segundo o especialista, esses malwares inicialmente bloqueavam apenas o acesso ao computador, usando uma espécie de tela de login “falsa”. “Você não podia usar o PC, e precisava pagar certo valor para obter o acesso de volta”, conta ele. “Mas naquele caso, o usuário podia tirar o HD e conectá-lo em outro lugar para acessar os dados.”

Foi essa possibilidade que, de certa forma, fez os criminosos melhorarem a ideia por trás do ransomware. “O que eles querem hoje é que a informação seja criptografada. Você acessa o computador, seu sistema operacional, mas eles podem pegar uma unidade inteira de HD e bloqueá-la”, diz Castro. E para poder abri-la novamente, é preciso usar uma chave, pela qual você precisar pagar um determinado valor dependendo do malware em questão.

Como funciona o ransomware? – A ameaça mais “famosa” do tipo, o Cryptolocker, entra nas máquinas de forma não muito diferente dos malware tradicionais – a partir do phishing. Um e-mail falso, atribuído à FedEx nos EUA, por exemplo, tenta chamar a atenção da possível vítima, que abre a mensagem, baixa um arquivo PDF disfarçado e acaba instalando o malware ao abrir o documento.

Então, o malware criptografa alguns arquivos usando uma chave pública (bem forte, de 1024-bits, no caso do Cryptolocker), e emite um alerta ao usuário. E é por ele que o usuário fica sabendo que, se um resgate de determinado valor não for pago até uma data limite, a combinação que liberaria os documentos seria apagada – e os itens acabariam perdidos para sempre, provavelmente. O pagamento, aliás, deve ser feito normalmente em bitcoins ou por algum outro método que impeça o criminoso de ser rastreado.

Outros tipos de ransomware – De acordo com Castro, a maior parte das ameaças do tipo tem como alvo o Windows, “mas pelo fato de ser a plataforma mais usada”. Fora o Cryptolocker, um exemplo recente que atingiu (e ainda atinge) o sistema da Microsoft é o BitCrypt2, que segue o mesmo conceito e também usa uma chave de 1024-bits para bloquear arquivos de diversas extensões no HD. O resgate cobrado, no caso dele, girava em torno dos 0,4 bitcoin.

Mas existem ameaças também para Android, que é alvo pelo mesmo motivo do Windows, como acredita o especialista. O caso mais recente e preocupante é o Simplocker, um app malicioso que criptografa arquivos em um cartão SD, cobra um resgate e se esconde usando um servidor hospedado em um domínio na rede TOR. Mas segundo a ESET, empresa que descobriu o malware, ele não chega perto do tamanho do Cryptolocker em termos de risco, e deve infectar apenas aparelhos que se conectam a lojas que não são a Google Play.

Aliás, o iOS não escapa de ameaças parecidas, como foi visto também há algumas semanas. O caso, no entanto, não era bem um ransomware, nem mesmo uma aplicação. “O que os criminosos fizeram ali foi usar senhas e nomes de usuários do iCloud vazados na web para bloquear aparelhos remotamente”, explica Castro. É uma função do próprio serviço da Apple, que ainda permitia aos invasores exibir uma mensagem personalizada na tela dos dispositivos “hackeados” – no caso, um pedido de resgate.

Proliferação pelo mundo – Até alguns meses atrás, esses malwares sequestradores eram uma preocupação maior na Europa (Rússia, especialmente) e nos Estados Unidos. Mas segundo o especialista, “agora podemos dizer que já vimos muitos casos na América Latina”.

O principal deles é o de um ransomware que se passava por um alerta do FBI. “Ele bloqueava seu computador, exibindo na tela um texto que dizia que seu PC tinha sido travado porque havia pornografia infantil ou ilícita guardada nele”, explica o coordenador da ESET. “Mas claro que não era o FBI, era só um atacante que usou o logo do órgão.”

O alerta emitido ainda dizia que uma “multa” de 200 dólares precisava ser depositada em uma conta para que a máquina fosse liberada – e muitas vítimas de fato fizeram isso para conseguir (ou não) o acesso de volta. “Esse caso nós vimos na América Latina, e depois ainda tivemos outro parecido envolvendo a polícia da Argentina, e outro no México.” De acordo com Castro, é bem possível que algo parecido ainda aconteça por aqui, mas envolvendo a Polícia Militar ou a Federal, por exemplo.

Qual a solução? – Pagar o criminoso para liberar os arquivos é a primeira ideia que vem à cabeça de quem tem o computador infectado. Mas não dá para ter certeza de que o invasor irá, de fato, entregar a chave para desbloquear os arquivos. “Você não está falando com uma empresa, e sim com um cara que está roubando seu dinheiro”, alerta Castro.

Para ele, o atacante pode simplesmente pegar o valor do resgate e “sumir”, já que não há uma obrigação real com o “cliente”. “Fora que, quando você paga, acaba ajudando esse crime a se espalhar”, diz o especialista. “Se eles perceberem que vão receber, vão fazer isso cada vez mais para ganhar ainda mais dinheiro. E por isso que os ransomware estão crescendo.”

Prevenção – Por não deixar de ser um malware, as táticas de prevenção “normais” devem ser suficientes para prevenir uma infecção, como afirma o coordenador. “O primeiro passo é utilizar uma solução de segurança tradicional, que vai proteger de todo tipo de malware, inclusive dos ransomwares.” Mas há algo ainda mais importante do que isso para evitar eventuais transtornos causados por uma infecção por um malware sequestrador: criar o hábito de fazer backup.

“Se as pessoas tiverem um backup atualizado dos arquivos, poderão simplesmente formatar o computador sem precisar começar tudo de novo.” E ainda vale o alerta: se guardar os documentos em um HD externo, o ideal é mantê-lo longe do computador, especialmente caso você esteja fazendo downloads. Assim, no caso de alguma aplicação maliciosa infectar a máquina, o disco com as cópias de segurança ficará a salvo.

E a prevenção é a melhor forma de combater um ransomware, já que, caso a máquina seja infectada, pode não haver como recuperar os arquivos sem “pagar e torcer”. Algumas ameaças do tipo podem até usar uma chave de criptografia fraca, que pode ser quebrada por “força bruta”, ou mesmo simplesmente bloquear os arquivos sem cifrá-los.

“Mas cada caso é um caso”, como diz o especialista. “No do Cryptolocker, eles usam uma combinação tão forte que é praticamente impossível de adivinhar.” E aí, só formatando a máquina e recorrendo ao backup mesmo para voltar à normalidade. “Nós dizemos que um grama de prevenção equivale a muitos e muitos quilos de infecção”, brinca Castro.

Agradeço ao Davi, amigo e colaborador do seu micro seguro, pela referência a essa notícia.

Fonte: Info