Como desfazer o estrago causado pelo Ransomware Petya

decrypt-petyaDois especialistas criaram ferramentas capazes de desfazer o estrago causado pelo ransomware “Petya”, uma nova praga digital que atua codificando os primeiros setores do disco rígido, o chamado “setor de inicialização”. A atuação do vírus, além de impedir o acesso aos dados como outros vírus de resgate, impede o próprio acesso ao computador, obrigando a vítima a realizar o processo de obtenção da chave e pagamento em um segundo computador.

O Petya começou a ser disseminado por e-mail no fim de março. Caso a vítima abra o programa, ele exige uma mensagem falsa de verificação de erro de disco enquanto na verdade codifica o setor de inicialização. Como outros vírus de resgate, depois de impedir o acesso aos dados (e ao computador), o Petya fornece instruções para que a vítima realize um pagamento para obter a senha.

Análises do vírus demonstraram, porém, que a “criptografia” usada era uma simples operação lógica conhecida como “Ou exclusivo” (também conhecido como “XOR”). Essa operação lógica pode ser revertida desde que se conheça a chave e o Petya usa sempre a mesma chave. A partir disso, um programador anônimo criou um aplicativo online que gera a senha de desbloqueio do vírus de resgate a partir de certos dados obtidos do próprio disco do computador infectado.

Outro programador, Fabian Wosar, criou o programa Petya Extractor (download aqui) que lê os dados necessários para esse processo. Em posse dos dados, basta usar o primeiro aplicativo para obter a chave e, em seguida, digitar a chave na tela de bloqueio do próprio vírus.

A maior dificuldade é extrair o disco rígido do computador infectado e colocá-lo em uma outra máquina onde ele poderá ser lido pelo Petya Extractor. Em alguns casos, pode ser possível ler diretamente os dados do disco rígido em outro computador, sem precisar desbloqueá-lo com a chave.

Com isso, o Petya entra para a lista dos vírus de resgate que não deixam os arquivos totalmente “irrecuperáveis”. Infelizmente, outros tipos de vírus de resgate, como o CryptoWall – o mais comum no Brasil – continuam sem solução.

Agradecemos ao Davi, colaborador amigo do seu micro seguro, pela referência a essa notícia.

Fonte: G1

Primeiro ransomware para Linux já tem solução

ransomware_linuxFerramenta que resolve problema foi criada por pesquisadores da empresa Bidefender.

Administradores de servidores web que foram infectados com um ransomware lançado recentemente para Linux estão com sorte: agora existe uma ferramenta gratuita que pode descriptografar seus arquivos.

A ferramenta foi criada por pesquisadores de malware da empresa de segurança Bitdefender, que descobriu uma grande falha na maneira como o ransomware Linux.Encoder.1 usa a criptografia.

O programa torna os arquivos ilegíveis usando o Advanced Encryption Standard (AES), que utiliza a mesma chave tanto para criptografar quanto para descriptografar. Essa chave AES é então criptografar usando o RSA, um algoritmo assimétrico de criptografia.

O algoritmo RSA usa uma chave pública e privada, em vez de uma chave única. A chave pública é usada para criptografar dados e a chave privada é usada para descriptografá-los. No caso do Linux.Encoder.1, o par de chaves públicas RSA é gerado nos servidores dos criminosos e apenas a chave pública é enviada para os sistemas infectados e usada para criptografar a chave AES.

Caso seja implementado corretamente, esse processo tornaria impossível para qualquer descriptografar arquivos sem a chave RSA retida pelos criminosos. No entanto, os pesquisadores da Bitdefener descobriram que, quando gera as chaves AES, o programa malicioso usa uma fonte fraca de dados aleatórios – a hora e a data do momento da criptografia.

Esses dados são fáceis de serem determinados ao dar uma olhada quando os arquivos chave AES foram criados no disco. Dessa forma, os pesquisadores podem reverter o processo e recuperar as chaves AES sem precisar descriptografá-las, tornando as chaves pública e privada RSA sem sentido.

A ferramenta criada e lançada pelo Bitdefender é um script escrito em Python que determina os vetores de inicialização e chaves de criptografia AES ao analisar os arquivos criptografados pelo programa de ransomware. Ele então descriptografa os arquivos e conserta suas permissões no sistema.

Agradecemos ao Davi, colaborador amigo do seu micro seguro, pela referência a essa notícia.

Fonte: IDG Now!

Falha do HTTPS não tem solução prática

https

Pesquisadores que descobriram vulnerabilidade no HTTPS prometem uma ferramenta para detectar sites em risco, mas dizem não haver uma solução prática

Não existe uma solução para o ataque Breach (sigla em inglês para Reconhecimento de Browser e Extração via Compressão de Hipertexto Adaptável) descoberto por engenheiros da Salesforce na semana passada. Segundo pesquisadores, todas as versões dos protocolos TLS e SSL são vulneráveis ao ataque, mesmo que nem todo site que utiliza HTTPS esteja necessariamente em risco.

Segundo eles, sites, aplicações e páginas que empregam a compressão HTTP são mais vulneráveis. Também usam parâmetros de consulta string para refletir dados do usuário. Por fim, sites alvo são aqueles que trafegam dados sensíveis, como endereços de e-mail e credenciais de segurança.

Engenheiros da Salesforce prometem divulgar uma ferramenta que permite às empresas testar seus sites usando códigos prova-conceito que exploram o Breach. “Estou no processo de limpeza do código e espero publicá-lo em breve. Vai ser uma ferramenta única que pode ser rodada localmente para testar o site”, diz o pesquisador da Salesforce, Angelo Prado. “Você pode ajustar os alvos e testá-los”.

Esclarecendo, a ferramenta não pode ser usada para escanear a web aleatoriamente à procura de sites vulneráveis. “Ela não é um scanner, você precisa identificar um ponto frágil primeiro, necessita de um humano”, explica Angelo. “No meio tempo, a sessão ‘Am I Affected’ do site breachattack.com é um bom começo para um teste manual com a ferramenta gratuita Fiddler”.

O que acontece se um site for vulnerável? “Infelizmente, desconhecemos uma solução efetiva para o problema” atesta o pesquisador. “Algumas dessas soluções são mais práticas e uma única mudança pode cobrir todos os aplicativos, enquanto outras devem ser feitas página por página.” Ele adiciona: “Independente da solução que escolher, é altamente recomendável que você monitore o seu tráfego para detectar possíveis ataques”.

A melhor técnica para acabar com a vulnerabilidade é desabilitar a compressão HTTP, usada para melhorar o uso da banda larga e da capacidade de processamento do servidor para aumentar a rapidez de navegação. Ela envolve a troca de duplicatas dos dados para um indicador que leve ao ponto original.

Mas utilizar esse recurso deixa o HTTPS sensível a um ataque, no qual o atacante é capaz de bisbilhotar as comunicações HTTPS e olhar o tamanho dos pacotes transmitidos. E enviando requisições, consegue deduzir as informações que estão sendo transmitidas.

“Na prática, somos capazes de recuperar tokens CRSF com menos de 4 mil requisições”, comenta Angelo. “Navegadores como o Google Chrome e Internet Explorer enviam esse número de requisições em menos de 30 segundos, incluindo call-backs ao invasor”.

Apesar da ameaça, desabilitar a compressão nem sempre é viável, porque ela faz com que a performance do servidor web seja a esperada pelos administradores e usuários, de acordo com a Ars Technica.

Outra soluções, menos efetivas, sugeridas pelos pesquisadores incluem “separar os segredos da entrada do usuário”, o qual provavelmente envolve uma reforma do software do servidor web, ou mascarar segredos tornando-os aleatórios. Outras técnicas incluem a adição de dados randômicos nas mensagens de resposta HTTP para esconder o seu tamanho real, e a limitação das requisições HTTPS.

Mas muitas dessas soluções têm seus efeitos colaterais e não consertam o problema do HTTPS. Ou como diz o aviso sobre a vulnerabilidade aos ataques Breach: “Não temos o conhecimento de nenhuma solução prática para o problema”.

Agradeço ao Davi e ao Lucas, amigos e colaboradores do seu micro seguro pela referência a essa notícia.

Fonte: it web