Kaspersky vs. Ransomware Wannacry
2017-05-18
KASPERSKY LAB INFORMA
No dia 12 de Maio várias empresas espanholas e portuguesas foram vítimas de um ataque informático da família ransomware, concretamente o WannaCry.
Os produtos e soluções da Kaspersky Lab detectam e bloqueiam este ataque e não temos indicação de clientes afectados.
Não obstante, é absolutamente necessário que actualize os seus sistemas Microsoft Windows seguindo o procedimento que aparece no artigo da Microsoft: MS17-010 (https://technet.microsoft.com/en-us/library/security/ms17-010.aspx) com o fim de minimizar o risco.
É importante esclarecer que este patch evita a propagação do malware na rede interna e, de momento, desconhece-se a origem do ataque inicial.
Desta forma, recomendamos precaução ao abrir mensagens de correio electrónico em massa e ficheiros suspeitos.
Por favor, consulte o seguinte artigo para mais informação: http://support.kaspersky.com/13698
Ligações úteis
https://securelist.com/blog/research/78411/wannacry-faq-what-you-need-to-know-today/
https://technet.microsoft.com/en-us/library/security/ms17-010.aspx
Como decifrar o ransomware CryptXXX: A Kaspersky Lab lança uma nova ferramenta para libertar os ficheiros afectados
Este ransomware, dirigido a dispositivos Windows, bloqueia ficheiros, copia dados e rouba Bitcoins.
O ransomware CryptXXX propaga-se entre os internautas através de spam que contém ficheiros anexados infectados ou links para páginas web maliciosas. As páginas que alojam o kit de exploit do Angler distribuem o malware CryptXX.
Quando se executa, o ransomware cifraos ficheiros do sistema infectado e adiciona a extensão. crypt ao nome de cada ficheiro. Após a infecção, informa as vítimas de que os seus ficheiros foram cifrados através de RSA-4096, um algoritmo de encriptação mais forte, e exige o pagamento de um resgate em Bitcoins para libertar os dados.
Com mais de 50 famílias de ransomware existentes, não existe um algoritmo universal para combater a ameaça ou o impacto destes ataques. No entanto, no caso do CryptXXX, o resgato dos cibercriminosos através de RSA-4096 resultou ser falso e a Kaspersky Lab desenvolveu uma ferramenta de desencriptação que agora está disponível na página web do suporte da empresa.
Graças ao trabalho dos especialistas da Kaspersky Lab, agora os internautas podem ter a segurança de que se o CryptXXX se encontrar nos seus sistemas, é possível recuperar os ficheiros sem pagar o resgate. Com o fim de desencriptar os ficheiros afectados, esta ferramenta da Kaspersky Lab necessitará da versão original (não cifrada) de pelo menos um ficheiro que tenha sido afectado por este ransomware.
Os utilizadores das soluções da Kaspersky Lab estão agora mais protegidos, pois o kit de exploit de Angler usado pelo ransomware CryptXXX detecta-se na etapa precoce de infecção, graças à tecnologia de prevenção e bloqueio das acções de exploit das soluções da Kaspersky Lab.
Os produtos da Kaspersky Lab detectam este kit de exploit com os seguintes parâmetros:
HEUR:Exploit.SWF.Agent.gen, PDM:Exploit.Win32.Generic, HEUR:Exploit.Script.Generic.
Pode consultar mais informação através do seguinte link:
http://support.kaspersky.com/viruses/disinfection/8547
Outros utilitários para desinfecção:
http://support.kaspersky.com/viruses/disinfection
Vídeos práticos para fazer frente a ameaças de Cryptovirus (em inglês):
O que é um cryptovirus? Pode por em risco o seu negócio?
Como proteger os recursos de rede frente a um Ransomware?
Como proteger os dados das empresas?
A Kaspersky continua a recomendar que tenha em conta as seguintes medidas de segurança para reduzir o risco de infecção por parte de malware do tipo Ransomware ou Cryptoware “file encryptors”:
- Mensagens de correio electrónico: o email está a ser utilizado como a principal via de infecção até ao momento. O mais eficaz será utilizar soluções nos sistemas de correio, que tanto podem filtrar Spam como anexos suspeitos de código executável. Se não dispõe de soluções de perímetro pode activar o módulo de Antivírus de Correio da Kaspersky Lab para filtrar os seguintes tipos de anexos: ficheiros zip, pdf, doc(x), xls(x), exe, bat, ou qualquer outro que possa conter macros.
- Dois exemplos de métodos mais utilizados para a propagação são:
- Email, aparentemente dos CTT, onde anexa um seguinte tipo de ficheiro zip:
Carta_registada_.zip\Carta registada_.exe
- Correio cujo assunto é: My photo
Conteúdo: My new photo , send u photo ;)
Inclui um adjunto “my_new_photo” seguido de um número aleatório e extensão .zip.
Se alguém da organização receber algo do género, deverá apagar imediatamente o email! Confirme que o este não é aberto sob quaisquer circunstâncias.
- Evitar o download de ficheiros cujo os links estejam indicados no corpo do email e que não pertençam a remetentes de confiança. Se existirem duvidas, reavalie o email e verifique se na mensagem existem caracteres estranhos ou erros ortográficos descarados, por exemplo letra “ç” substituída por “c” ou não utilização de acentuação como por exemplo o til “~”. Se assim for, não abra os anexos ou clique nos links.
- Sempre que possível, actualize para a última versão do Kaspersky Endpoint Security 10 e configure-o seguindo o artigo técnico: http://support.kaspersky.com/10905
- Assegure-se de que as bases de dados da solução de segurança são sempre as últimas disponíveis.
- Assegure-se de que o componente System Watcher está activado.
- Assegure-se de que o componente Kaspersky Security Network (KSN) está activado.
- Active e configure o módulo de controlo de actividade de aplicações para evitar a execução de aplicações não confiáveis.
- Os ficheiros maliciosos ocultam o tipo de extensão que têm, por vezes tentam ludibriar colocando o nome de extensões confiáveis na descrição do ficheiro (nome). Para ter toda a visibilidade do tipo de extensão real do ficheiro, recomenda-se desactivar a opção de ‘Ocultar extensões para tipos de ficheiros conhecidos’, nas ‘Opções de Pastas’ no Explorador de ficheiros do Windows.
- Ter sempre cópias de segurança actualizadas (backups), tanto no computador como nas unidades de armazenamento dos dispositivos externos.
- Manter todo o software actualizado para proteger-se de infecções, como por exemplo, páginas que utilizam Web Exploit Kits e aproveitam-se de vulnerabilidades do navegador, Java, Flash o Adobe Acrobat.
UMA VEZ QUE A INFEÇÃO TENHA OCORRIDO, as vias para tentar recuperar os ficheiros são:
- Desligar o computador imediatamente após detecção da infecção e isole o equipamento da rede.
- Entrar no sistema em modo segurança e proceda à recuperação das Volume Shadow Copies.
- Proceder ao restauro das cópias de segurança.
- Tentar recuperar os ficheiros com ferramentas forenses:
- Ferramentas da Kaspersky: http://support.kaspersky.com/viruses/utility.
- Ferramentas de terceiros: https://www.decryptcryptolocker.com/.
- Solicitar apoio técnico especializado à Assistimo ou outra entidade competente para o efeito.
CoinVault ransomware DECRYPTOR:
Kaspersky Lab lançou o seguinte site https://noransom.kaspersky.com/ para ajudar as vítimas do CoinVault ransomware e assim tem a oportunidade de recuperar os seus dados sem ter que pagar aos cibercriminosos. As instruções estão disponíveis em inglês através do seguinte link: https://noransom.kaspersky.com/static/convault-decrypt-manual.pdf.