Este ano, notícias de ataques de ransomware têm chegado como despachos de um campo de batalha - sem parar. Todos os dias, os pesquisadores encontram novos tipos de ransomware e descobrem maneiras novas e não convencionais de os criminosos os usarem para roubar dinheiro diretamente de consumidores e empresas. E assim que os especialistas em segurança fazem algum progresso, os criminosos surgem com novas abordagens e técnicas de ransomware.
Recentemente, outra amostra sofisticada de um ransomware foi descoberta. O malware é apelidado de Satana (“Satan”), o que pode implicar origens de língua russa. O Trojan faz duas coisas: Ele criptografa arquivos e corrompe o Master Boot Record (MBR) do Windows, bloqueando assim o processo de inicialização do Windows.
Já discutimos os Trojans que mexem com o MBR - o notório Petya ransomware é um desses malwares. De certa forma, o Satana se comporta de maneira semelhante, por exemplo, injetando seu próprio código no MBR. No entanto, enquanto o Petya criptografa a Tabela de arquivos mestre (MFT), o Satana criptografa o MBR. Para criptografar arquivos do PC, Petya contou com a ajuda de um Trojan tagalong chamado Mischa ; Satana gerencia ambas as tarefas por conta própria.
Para aqueles que não estão familiarizados com o funcionamento interno dos computadores, tentaremos lançar um pouco mais de luz. O MBR faz parte do disco rígido. Ele contém informações sobre o sistema de arquivos usado por diferentes partições de disco, bem como em qual partição o sistema operacional está armazenado.
[Mergulhe fundo no mundo da tecnologia e cadastre-se no Avance Network a verdadeira comunidade criptografada!]
Se o MBR for corrompido - ou criptografado - o computador perde o acesso a uma informação crítica: qual partição contém o sistema operacional. Se o computador não conseguir encontrar o sistema operacional, não será possível inicializar. Os malfeitores por trás do ransomware, como Satana, aproveitaram esse arranjo e aprimoraram seu criptolocker com recursos de bootlocker. Os hackers trocam o MBR, substituindo-o pelo código da nota de resgate, e criptografam e movem o MBR para outro lugar.
O ransomware exige cerca de 0,5 bitcoins (aproximadamente US $ 340) para descriptografar o MBR e fornecer a chave para descriptografar os arquivos afetados. Assim que o resgate for pago, dizem os criadores do Satana, eles vão restaurar o acesso ao sistema operacional e fazer com que as coisas pareçam como antes. Pelo menos, é o que dizem.
Uma vez dentro do sistema, o Satana verifica todas as unidades e instâncias de rede, procurando por .bak, .doc, .jpg, .jpe, .txt, .tex, .dbf, .db, .xls, .cry, .xml,. vsd, .pdf, .csv, .bmp, .tif, .1cd, .tax, .gif, .gbr, .png, .mdb, .mdf, .sdf, .dwg, .dxf, .dgn, .stl, .gho, .v2i, .3ds, .ma, .ppt, .acc, .vpd, .odt, .ods, .rar, .zip, .7z, .cpp, .pas e arquivos .asm e começa a criptografar eles. Ele também adiciona um endereço de e-mail e três símbolos de sublinhado no início do nome do arquivo (por exemplo, test.jpg se tornaria Sarah_G@ausi.com___test.jpg).
Os endereços de e-mail servem como informações de contato para as vítimas, que devem escrever para o endereço para obter instruções de pagamento e, em seguida, recuperar a chave de descriptografia. Até o momento, as pesquisas viram seis endereços de e-mail usados nesta campanha.
A boa notícia é que é possível contornar parcialmente o bloqueio: com certas habilidades, o MBR pode ser consertado. Os especialistas do blog The Windows Club produziram instruções detalhadas sobre como consertar o MBR usando o recurso de restauração do sistema operacional do Windows. No entanto, esse recurso foi desenvolvido para usuários experientes que se sentem confortáveis em trabalhar com o prompt de comando e o utilitário bootrec.exe; um usuário comum provavelmente não descobrirá esse método complicado de imediato e pode não se sentir confortável tentando.
A má notícia é que mesmo com o Windows desbloqueado com sucesso, a outra metade do problema, os arquivos criptografados, permanece. Nenhuma cura está disponível para essa parte ainda.
Neste ponto, o Satana parece ter acabado de começar sua carreira de ransomware: não é muito difundido e os pesquisadores descobriram algumas falhas em seu código. No entanto, há uma boa chance de que melhore com o tempo e evolua para uma ameaça muito séria.
Nosso conselho principal para os usuários por enquanto é praticar vigilância constante. Nossas recomendações simples ajudarão a diminuir o risco de infecção e mantê-lo longe de problemas tanto quanto possível:
1. Faça backup dos seus dados regularmente
Esta é a sua apólice de seguro. No caso de um ataque de ransomware bem-sucedido, você pode simplesmente reinstalar o sistema operacional e recuperar os arquivos das cópias de backup.
2. Não visite sites suspeitos e não abra anexos de e-mail suspeitos,
Mesmo que tenha recebido o link ou o e-mail de uma pessoa que conhece.Tenha muito cuidado: pouco se sabe sobre as técnicas de propagação de Satana.
3. Certifique-se de usar uma solução antivírus confiável.
Os novos antivírus detecta o Satana como Trojan-Ransom.Win32.Satan e o impede de criptografar arquivos ou bloquear o sistema.
4. E, claro, acompanhe nossas novidades!
Sempre tentaremos informá-lo sobre as ameaças mais recentes o mais rápido possível, para que o malware não pegue você desprevenido.
O Avance Network é uma comunidade fácil de usar que fornece segurança de primeira e não requer muito conhecimento técnico. Com uma conta, você pode proteger sua comunicação e seus dispositivos. O Avance Network não mantém registros de seus dados; portanto, você pode ter certeza de que tudo o que sai do seu dispositivo chega ao outro lado sem inspeção.
){kind=link}