[ATENÇÃO!] Nova epidemia por ransomware em crescimento

(Esta postagem será atualizada caso novas informações estejam disponíveis)

(Última atualização: 25/10/2017, 14h02)

Uma nova epidemia por ransomware, chamada de Bad Rabbit, foi detectada ontem (24/Outubro) e está se alastrando pelo mundo neste momento, conforme reportado pela empresa de segurança digital Kaspersky Labs.

O ransomware é um software malicioso que criptografa os dados da máquina e exige resgate em dinheiro para que o usuário recupere os seus arquivos. Entretanto, o pagamento do resgate não significa que o usuário realmente tenha os seus dados de volta.

Segundo a Kaspersky, a infecção só acontece manualmente, quando o usuário na estação de trabalho faz download e executa o instalador do Adobe Flash (arquivo de nome “install_flash_player.exe”) que esteja infectado.

Assim, a forma mais eficaz de evitar a infecção é orientando todos os usuários para que não executem nenhum instalador do Adobe Flash, mesmo que o site que dispara o instalador seja confiável.

A PRODAM informa que está liberando uma atualização extra do antivírus McAfee, e atualizando as políticas dos softwares de proteção, além de analisar outras medidas técnicas de mitigação de risco relacionadas ao serviço do Windows que é explorado pelo malware.

RECOMENDAÇÕES TÉCNICAS:

1. Não execute o instalador do Adobe Flash (arquivo de nome “install_flash_player.exe”).

2. Para administradores de rede e usuários com privilégios semelhantes, as recomendações publicadas pela Kaspersky até o momento são:

• Bloquear a execução dos seguintes arquivos, que são criados pelo malware:

c:\windows\infpub.dat
c:\Windows\cscc.dat

• Caso possível, desativar o serviço WMI para impedir que o malware espalhe-se por meio da rede.

REFERÊNCIAS:

INFORMAÇÕES GERAIS

“Bad Rabbit: A new ransomware epidemic is on the rise”
Publicado em 24/10/2017, no website da empresa Karpesky Lab.
Disponível em https://www.kaspersky.com/blog/bad-rabbit-ransomware/19887/

“Bad Rabbit, um novo ransomware”
Publicado em 24/10/2017, no blog TechTudo do portal G1.
Disponível em https://www.techtudo.com.br/noticias/2017/10/bad-rabbit-ransomware.ghtml

DETALHES TÉCNICOS:

“Bad Rabbit ransomware”
Publicado em 24/10/2017, no website SecureList da empresa Karpesky Lab.
Disponível em https://securelist.com/bad-rabbit-ransomware/82851/

O artigo https://www.showmetech.com.br/bad-rabbit-ransomware/ recomenda uma especie de vacina, criando arquivos vazios:

“Neste link você pode ver uma “receita” de como evitar ser invadido por esse novo ransomware. Basta criar estes dois arquivos vazios no Windows: C:\windows\infpub.dat e C:\windows\cscc.dat. Daí remova todas as permissões deles, tais como leitura, gravação e outras. Desta forma, teoricamente, você estará protegido desta nova ameaça”

Eu não criaria como arquivos vazios, mas como pasta vazia. Faço isso nos meus pendrives, criando uma pasta autorun.inf, a vantagem da pasta é que , ao contrario dos arquivos, a pasta nao pode ser sobrescrita por arquivos maliciososo. Da pra verificar isso : Em uma pasta, crie uma subpasta “teste.txt” e em seguida tente criar um arquivo teste.txt.

Caros, boa tarde!

Sobre este tópico especificamente, o pessoal de Segurança e de Operações da PRODAM já realizou um comunicado para os grupos de TIC das pontas.

Segue abaixo uma cópia do comunicado:
Responsáveis de TI, boa tarde!

Surgiu um novo ataque do Ransomware chamado de “BadRabbit”, que já fez as primeiras vitimas na Rússia e na Ucrânia. Uma vez que a vitima é infectada elas são redirecionas a um site escondido por Tor em que pede cerca de 0,05 bitcoin como resgate e da o prazo de 40 horas para que a vitima pague e receba o código de descriptografia. Esse Ransomware entra através de um falso executável de atualização do Adobe Flash Player.
Segue o manual em anexo sobre este vírus e as ações a serem tomadas por vocês.
\nas.prodam\antivirus\6.9 - Virus BadRabbit

São imprescindíveis algumas ações para minimizar o riscoe disseminação na rede corporativa:

1.              Instalação e atualização do Antivírus corporativo
   

2.              Atualização do Sistema Operacional Windows, configurar as estações de trabalho para acessar o WSUS local ou corporativo;
   

3.              Atualização/substituição de todos os sistemas operacionais Windows XP (sem suporte e atualização pela Microsoft);
   

4.              Instruir os usuários para não abrir e-mail e anexos de desconhecidos, desconfiar de mensagens com anexos oriundos de instituições bancárias, operadoras de cartões   de crédito e concessionária. Caso tenha dúvidas, acesse diretamente suas contas bancárias, crédito e demais sites das concessionárias para saná-las ou utilize os canais de comunicação oferecidos pelas instituições 0800, etc;
   

5.              Evite abrir e compartilhar e-mails com anexo (ou mesmo links) com temas de noticiários (sazonais), como por exemplo de grandes eventos , desastres, guerras, temas políticos, religiosos, dentre outros. Os estelionatários virtuais utilizam desses e da curiosidade para implantar algum software malicioso nos computadores;
   

6.              Tenha cuidado ao utilizar pen drives e outros repositórios portáteis, para copiar e transferir informações, sempre faça uma varredura com um antivírus no dispositivo;
   

7.              Nunca compartilhe pasta em seu computador para todos. Permita apenas para os usuários que realmente necessitem do serviço compartilhado;
   

8.              Instrua para que os usuários utilizem apenas softwares homologados pela secretaria e evitem downloads de programas de sites não oficiais dos fabricantes;
   

9.              Informações críticas e sensíveis devem ser gravadas em servidores corporativos com serviço de backup.
   

10.           Informe todos os usuários para que procurem a área de informática local para sanar as dúvidas sobre o assunto.
    

Atenciosamente.

Ter um bom firewall, atualizar o antivírus e manter o Sistema Operacional sempre com as atualizações de segurança em dia, é o suficiente para evitar o ataque de uma estação de rede por ransomware?

Não, não é. Mas ajuda muito.

Criadores de ransomwares (ou quaisquer outros tipos de malwares) são bastante criativos e estão sempre buscando meios novos de burlar a segurança dos sistemas que querem invadir.

Em alguns casos, as pessoas que descobrem falhas/brechas antes desconhecidas as aproveitam para criar malwares (exemplo: NSA). Em outros casos, são falhas/brechas já conhecidas mas para as quais não há correção ainda (especialmente no caso de falhas recém-descobertas, há casos de malwares surgindo apenas alguns poucos minutos depois de serem publicadas). Para esses casos, manter os sistemas atualizados pouco ajuda.

No entanto, na maioria dos casos, os malwares aproveitam-se de falhas para as quais já existe correção e atacam sistemas que estão desatualizados. Nesses casos, manter os sistemas atualizados é sempre importante.

Quanto aos firewalls, eles ajudam a bloquear portas TCP/UDP que não deveriam estar sendo usadas. Ferramentas mais avançadas conseguem inspecionar o tráfego de rede ou bloquear endereços ou hosts que não são seguros. Mas há alguns tipos de malwares que burlam isso ao usar a porta HTTPS padrão com tráfego criptografado ou então ao pegar carona no tráfego de rede legítimo de outras aplicações.

Na maioria das vezes que uma grande falha é descoberta, rapidamente uma correção é publicada e disponibilizada. Entretanto nem sempre isso ocorre. Por exemplo:

• No caso do WannaCry, tanto a falha quanto a correção já eram conhecidas há tempos, mas a correção só foi amplamente distribuída quando alguém demonstrou, da pior forma possível, que era uma falha gravíssima e não apenas um problema inocente e obscuro.

• O bug do número 2.2250738585072012e-308 foi descoberto em 2001 (ou talvez ainda antes) e existia pelo menos desde 1991, mas só foi corrigido em 2011 porque antes disso era visto apenas como um problema inocente e obscuro de baixíssima relevância, até alguém conseguir utilizá-lo para derrubar sistemas.

Em resumo, a resposta é que manter os sistemas sempre atualizados te protege da maior parte das ameaças existentes (inclusive ransomwares). Dá para chutar que isso vai te proteger em 99,9% dos casos, muitos dos quais você nunca nem vai ficar sabendo que um dia existiram. No entanto, chegar ao 100%, na prática é impossível.