2016/03/10

Nova vaga de ransomware ao ataque


O ransomware é uma das mais recentes pragas que tem invadido os computadores, e vários membros da nossa mailing list já confirmaram uma nova vaga de ataques que tem tentado infectar os seus computadores (e o das suas empresas) - nalguns casos, com sucesso.

Ter o computador infectado com malware que faz surgir publicidade (ainda mais) abusiva no browser pode ser "chato", mas muito mais chato será descobrirem que todos as vossas fotos, documentos, e demais ficheiros foram encriptados e se encontram inacessíveis - a não ser que paguem várias centenas de euros aos atacantes para os recuperarem.

Estes ransomware são inteligentes, ao ponto de desligarem as funcionalidades de cópias anteriores (shadow copy) que pudessem existir e guardar versões utilizáveis dos ficheiros, e embora já existam ferramentas que permitem descodificar ficheiros encriptados por ransomware, este tipo de malware está continuamente em mutação com novas versões que não poderão ser facilmente resolvidas (a não ser que se pague - como já tem acontecido em casos mediáticos, como o de um Hospital nos EUA que ficou com registos clínicos dos clientes inacessíveis devido a um ataque deste tipo).


[A Península Ibérica já começa a ser um ponto de destaque no mapa de ataques]


Por isso, como sempre, a melhor forma de evitarem ficar nesta infeliz situação é a prevenção, não só a nível pessoal como - e particularmente - a nível das empresas, onde os danos causados poderão ser muito superiores e afectar dezenas, centenas, ou milhares de pessoas de uma só vez.

A nível dos backups, ter particular cuidado para garantir que uma infecção deste tipo não encripte os próprios ficheiros de backup, ou que as versões encriptadas não se sobreponham às versões originais em boas condições.

5 comentários:

  1. Este comentário foi removido pelo autor.

    ResponderEliminar
  2. Em Portugal fez logo estragos 4 dias depois de ser detectado. (ainda) Não há ferramentas para descodificar os documentos com locky
    Todo o ransomware aparecido nos últimos 2-3 anos usa chaves privadas na posse dos atacantes.
    Obter as chaves privadas tem sido um duro trabalho por parte das autoridades dos diferentes pais onde os servidores de chaves estão alojados.
    Quanto ao locky em particular, espalha-se inicialmente por anexos de emails suspeitos. Trata-se de um macrovirus de word. Desabilitar as macros do office impede a infeção.
    Se um computador for infectado, todos os seus documentos, áudio e vídeo incluídos são codificados. Qualquer drive de rede ou usb ligada também verá os seus documentos atacados.

    Outra hipótese mais complexa é impedir a execução de ficheiros em %username%\appdata , mas isso impede a execução de ficheiros via web/browser (ex: unzip directo de downloads).

    O melhor é mesmo a prevenção;
    *não abram (anexos de) emails suspeitos, mesmo com remetentes aparentemente conhecidos.
    *Ter uma conta para web e outra para trabalhar, ambas sem privilégios de superuser.
    *não se fiem no antivírus. O ransomware propaga-se como fogo em gasolina; antes que o vosso antivírus se actualize, vocês já levaram uma carga de porrada. O Kaspersky por exemplo, demorou vários dias para emitir uma actualização para o locky.
    *não subestimem o ransomware; é trabalho de programação altamente sofisticado de criminosos com elevados conhecimentos em segurança de informação. Também pode acontecer a vocês.

    ResponderEliminar
    Respostas
    1. No caso não se trata de macrovírus de M$Office mas sim de javascript.

      Eliminar
    2. Nopes, tudo binario executavel, invocado pelas macros do documento inicial infectado.
      Está aqui bem explicado: https://blog.malwarebytes.org/intelligence/2016/03/look-into-locky/

      Eliminar
    3. Quer quantos zip files com o javascript para "brincar"?

      Eliminar

[pub]