RedBoot – Novo Ransomware destrói a MBR e a Tabela de Partições

Descoberta nova família de ransomware que tem a capacidade de substituir o MBR -Master Boot Record e modificar a tabela de partições, permitindo que o malware funcione como um Wiper.

Segundo o site Security Week , o malware, conhecido como RedBoot, foi claramente projetado para fins destrutivos, pois criptografa executáveis ​​e DLLs juntamente com arquivos de dados normais, tornando a máquina infectada inútil. Além disso, ao substituir o MBR, ele impede o computador de carregar o Windows.

As operações do malware são semelhantes às do par Petya-Mischa – a Petya substituiria o MBR, enquanto a Mischa cifraria os arquivos dos usuários – o que mais tarde evoluiu para a variante Goldeneye.

Uma vez executada na máquina de destino, o novo RedBoot ransomware extrai 5 outros arquivos para uma pasta aleatória no mesmo diretório que o iniciador: assembler.exe, boot.asm, main.exe, overwrite.exe e protege.exe, observa Lawrence Abrams da BleepingComputer’s

O ransomware foi projetado para criptografar executáveis, DLLs e arquivos de dados normais na máquina infectada e anexa a extensão .locked a cada um dos arquivos criptografados. Assim que o processo de criptografia for concluído, o malware reinicia a máquina e a nova gravação da MBR exibe uma nota de resgate ao invés de carregar o Windows.

Embora a nota de resgate afirma que as vítimas podem recuperar seus dados satravés do pagamento do resgate, uma vez que o ransomware modificou a MBR e a tabela de partições é improvável que o usuário consiga recuperar seus dados.

Segundo o Security Week, ainda não está claro se o malware tem o objetivo de um ransomware, recebimento de resgate, ou se visa a destruição das máquinas afetadas e o resgate solicitado seria apenas uma forma de ganho “adicional” em vítimas desinformadas.

Na realidade, para o usuário não importa o motivo do ataque, mas sim como se proteger dele, por isto reforçamos aqui as principais recomendações:

Antes que você está infectado:

  • Defenda o seu e-mail.

Email de phishing e spam são as principais formas que distribuição de ransomware. Gateways de emails seguro com proteção contra-ataques direcionados são cruciais para detectar e bloquear emails maliciosos que contenham ransomware. Essas soluções protegem contra anexos maliciosos, documentos maliciosos e URLs em emails que levam à aplicações e documentos maliciosos que serão baixados nos computadores dos usuários.

  • Defenda seus dispositivos móveis.

Produtos de proteção de ataque móvel, quando usado em conjunto com ferramentas de gerenciamento de dispositivos móveis (MDM) podem analisar os aplicativos nos dispositivos de usuários e alertar de imediato s usuários e a TI de todas as aplicações que possam comprometer o seu ambiente.

  •  Defender a sua navegação na web.

Web Gateways seguros podem verificar o tráfego de navegação na web para identificar anúncios mal-intencionados que podem conter ransomware.

  • Monitorar o servidor e rede.

Ferramentas de monitoramento pode detectar atividades incomuns de acesso a arquivos, tráfego de rede e consumo de CPU a tempo de bloquear a ativação do ransomware.

  • Fazer backup de sistemas importantes.

Manter uma cópia completa de sistemas cruciais pode reduzir o risco de uma máquina quebrada ou criptografada causar um gargalo operacional importante. Realize cópias de backup regulares e teste várias vezes para ter certeza que os dados importantes estejam corretamente “backupeados” e que podem ser reinstalados se o pior acontecer.

Se você já está infectado:

  • Acione a “polícia de crimes tecnológicos”.

Assim como você chamaria a polícia para o auxílio em um sequestro físico, você precisa chamar a “polícia de especializada” para o tratamento de crimes tecnológicos, pois o ransomware é um sequestro tecnológico.

No Brasil temos diversas delegacias especializadas em crimes cibernéticos, uma lista destas delegacias pode ser encontrada no site  Safernet Brasil .

Técnicos forenses podem garantir que seus sistemas não sejam comprometidos para investigação e podem reunir informações de como aconteceu a contaminação para ajudar a definir ações de melhoria que possam melhora a segurança, ao mesmo tempo tentar encontrar os atacantes.

  • restaurar os dados.

Se você seguiu as melhores práticas e manteve backups do sistema, você pode restaurar seus sistemas e retomar as operações normais, possivelmente até mesmo sem o pagamento do resgate solicitado pelo atacante.

 

por MindSec  26/09/2017
About mindsecblog 317 Articles
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.