Descoberta nova família de ransomware que tem a capacidade de substituir o MBR -Master Boot Record e modificar a tabela de partições, permitindo que o malware funcione como um Wiper.
Segundo o site Security Week , o malware, conhecido como RedBoot, foi claramente projetado para fins destrutivos, pois criptografa executáveis e DLLs juntamente com arquivos de dados normais, tornando a máquina infectada inútil. Além disso, ao substituir o MBR, ele impede o computador de carregar o Windows.
As operações do malware são semelhantes às do par Petya-Mischa – a Petya substituiria o MBR, enquanto a Mischa cifraria os arquivos dos usuários – o que mais tarde evoluiu para a variante Goldeneye.
Uma vez executada na máquina de destino, o novo RedBoot ransomware extrai 5 outros arquivos para uma pasta aleatória no mesmo diretório que o iniciador: assembler.exe, boot.asm, main.exe, overwrite.exe e protege.exe, observa Lawrence Abrams da BleepingComputer’s
O ransomware foi projetado para criptografar executáveis, DLLs e arquivos de dados normais na máquina infectada e anexa a extensão .locked a cada um dos arquivos criptografados. Assim que o processo de criptografia for concluído, o malware reinicia a máquina e a nova gravação da MBR exibe uma nota de resgate ao invés de carregar o Windows.
Embora a nota de resgate afirma que as vítimas podem recuperar seus dados satravés do pagamento do resgate, uma vez que o ransomware modificou a MBR e a tabela de partições é improvável que o usuário consiga recuperar seus dados.
Segundo o Security Week, ainda não está claro se o malware tem o objetivo de um ransomware, recebimento de resgate, ou se visa a destruição das máquinas afetadas e o resgate solicitado seria apenas uma forma de ganho “adicional” em vítimas desinformadas.
Na realidade, para o usuário não importa o motivo do ataque, mas sim como se proteger dele, por isto reforçamos aqui as principais recomendações:
Antes que você está infectado:
- Defenda o seu e-mail.
Email de phishing e spam são as principais formas que distribuição de ransomware. Gateways de emails seguro com proteção contra-ataques direcionados são cruciais para detectar e bloquear emails maliciosos que contenham ransomware. Essas soluções protegem contra anexos maliciosos, documentos maliciosos e URLs em emails que levam à aplicações e documentos maliciosos que serão baixados nos computadores dos usuários.
- Defenda seus dispositivos móveis.
Produtos de proteção de ataque móvel, quando usado em conjunto com ferramentas de gerenciamento de dispositivos móveis (MDM) podem analisar os aplicativos nos dispositivos de usuários e alertar de imediato s usuários e a TI de todas as aplicações que possam comprometer o seu ambiente.
- Defender a sua navegação na web.
Web Gateways seguros podem verificar o tráfego de navegação na web para identificar anúncios mal-intencionados que podem conter ransomware.
- Monitorar o servidor e rede.
Ferramentas de monitoramento pode detectar atividades incomuns de acesso a arquivos, tráfego de rede e consumo de CPU a tempo de bloquear a ativação do ransomware.
- Fazer backup de sistemas importantes.
Manter uma cópia completa de sistemas cruciais pode reduzir o risco de uma máquina quebrada ou criptografada causar um gargalo operacional importante. Realize cópias de backup regulares e teste várias vezes para ter certeza que os dados importantes estejam corretamente “backupeados” e que podem ser reinstalados se o pior acontecer.
Se você já está infectado:
- Acione a “polícia de crimes tecnológicos”.
Assim como você chamaria a polícia para o auxílio em um sequestro físico, você precisa chamar a “polícia de especializada” para o tratamento de crimes tecnológicos, pois o ransomware é um sequestro tecnológico.
No Brasil temos diversas delegacias especializadas em crimes cibernéticos, uma lista destas delegacias pode ser encontrada no site Safernet Brasil .
Técnicos forenses podem garantir que seus sistemas não sejam comprometidos para investigação e podem reunir informações de como aconteceu a contaminação para ajudar a definir ações de melhoria que possam melhora a segurança, ao mesmo tempo tentar encontrar os atacantes.
- restaurar os dados.
Se você seguiu as melhores práticas e manteve backups do sistema, você pode restaurar seus sistemas e retomar as operações normais, possivelmente até mesmo sem o pagamento do resgate solicitado pelo atacante.
por MindSec 26/09/2017
Deixe sua opinião!