quinta-feira, 8 de agosto de 2013

Vírus ransomware com novas variantes.

Segundo a TrendMicro.
Comunicado a cerca de novas variantes do vírus ransomware.
Todo cuidado é pouco com uma nova variante do ransomware "Anti-Child Porn Spam Protection - 2.0 version", descoberta há poucos dias.

Os atacantes procuram máquinas Windows publicadas na Internet com RDP (Remote Desktop) ativo e realizam um ataque de força bruta em tais máquinas. Uma vez que conseguem o acesso, transferem a ameaça para a máquina e a executam.

A ameaça encripta, utilizando o formato SFX do WinRar, todos os arquivos que parecem ser documentos (.doc[x], .xls[x], .txt, .mdb, etc - a lista completa ainda não está disponível) com uma senha aleatória gerada no momento da execução. Tal senha é enviada ao atacante, que cobra de 4 a 5 mil dólares para revelá-la.

Já são dezenas de vítimas na América Latina. A Trend Micro já detecta algumas variantes, mas novas estão sendo criadas num espaço de tempo muito curto para evitar a detecção por AVs. Todo cuidado é pouco. Recomendções da Trendmicro como melhores práticas para clientes:

1. Desativar o RDP (Área de Trabalho Remota)
Lembrando que isso pode ser feito utilizando Group Policies para todas as máquinas no domínio. Atenção especial para quem tem acesso direto à Internet (servidores DNS por exemplo, gatewaysfirewalls etc).

2. Aplicar todos os patches de segurança do Windows
A vulnerabilidade MS13-029, por exemplo, é justamente do RDP e permite execução remota de código. Ela é de abril deste ano. Tenha certeza de estar com todos os patches em dia em seu Windows, principalmente servidores!

3. Reforçar todas as senhas de usuários das máquinas Windows
Uma senha forte é uma senha que não se pode decorar! Por exemplo, a senha "S0l........." tem 12 caracteres e é tecnicamente mais forte que "a0-+[3/;p!Z", que tem 11. Ambas possuem letras maiúsculas, minúsculas, números e caracteres especiais.
ORIENTAÇÕES EM CASOS DE INFECÇÃO
ransomware em questão se apaga de forma segura (para impedir a recuperação) após encriptar os arquivos da vítima. Isso dificulta muito a criação de uma ferramenta para decriptar os arquivos, pois não temos acesso ao binário principal que gerou a infecção. Caso você suspeite de uma infecção por este ransomware, siga as seguintes orientações:
  • Não reiniciar o computador.
  • Não rodar ferramentas que tentem decriptar ou remover o ransomware (nem mesmo ATTK, HouseCall e afins).
  • Agendar uma conversa com seu parceiro de tecnologia ou contato na Trend Micro para planejar ações de coleta e remoção do ransomware.
Juntos a trendmicro vai buscar na memória da máquina infectada vestígios do binário original ou mesmo da chave utilizada para encriptar dos arquivos do cliente. Para isso, precisamos de ações bem planejadas, em conjunto, e com o mínimo impacto possível no estado atual da máquina infectada. A regra é realmente não mexer nela, até que tenhamos recolhido tudo o que puder ajudar.
Mais informações:

Nenhum comentário:

Postar um comentário

Obrigado!!!