segunda-feira, 2 de novembro de 2015

Encriptou tudo aqui!

Encriptou tudo aqui!



O que são Ransomwares? Como funcionam? Como se proteger? essas e outras duvidas rodeiam o tema e serão esclarecidas para você agora, muitas pessoas ouvem falar sobre eles mas não os conhecem.


O que são Ransomwares?


Nada mais é do que um malware um virus de computador, porem com um grande diferencial dos outros, ele sequestra todos ou quase todos os arquivos da sua maquina e te pede um resgate por isso. Esse sequestro nada mais é do que uma encriptação que é feita nos arquivos, deixando assim impossivel realizar qualquer operação com eles, a não ser a desencriptação. E é ai que entra o resgate, para você desencriptar os arquivos, é necessario a chave de encriptação/desencriptação, que somente o "sequestrador" tem posse, e para te passar essa chave ele exige um valor de resgate em bitcoins. Mas pode ficar "tranquilo" voce sempre vai saber quando foi infectado e como deve proceder, pois eles são "sequestradores" bem preocupados com você e te deixam uma mensagem de tudo que precisa fazer, como nos exemplos abaixo,



Como funcionam?


A forma de infecção dele é bem padrão, ou vem por e-mail, ou por aqueles arquivos falsos que o pessoal costuma baixar, após ele ser baixado e executado, ele fica trabalhando quietinho no canto dele, encriptando todos os seus arquivos enquanto voce esta trabalhando ou fazendo qualquer outra coisa. e ao termino do seu trabalho ele te apresenta essas mensagens que foram mostradas a cima, e ai meu amigo é só tristeza, eles trabalham com algoritimos de encriptação fortes, praticamente impossiveis de serem quebrados, e então a unica forma de recuperar seus arquivos é pagando o resgate, porem mesmo assim não é certeza que vai ter eles de volta. Mas calma nem tudo esta perdido se você foi infectado com os seguintes Ransomwares CoinVault e BitCrypytor, pode ficar tranquilo o pessoal da Kaspersky pode te ajudar,





Caso contrario meus pêssames.



Somente para deixar mais simples o entendimento do funcionamento do ransomware, abaixo segue uma imagem explicativa publicada no blog da Trend Micro.


E para provar que esses malwares são devastadores e ao mesmo tempo simples, criei um ransomware somente para PoC(Proof of Concept), ele é bem simples, todo feito em python, mas um tanto quanto funcional, porem para evitar que ele fosse utilizado para ações criminosas não disponibilizei uma ferramenta de desencriptação, dificultando um pouco para o lado dos Script Kiddies.





Dependencias

pip install pycrypto


Python 2.7


Como se Proteger?

  • Tome cuidado com os e-mails que você abre.(Artigo sobre spams)
  • Faça backup dos seus arquivos.
  • Tenha uma boa solução de antivirus para evitar que seja infectado.
  • Manter sua solução de antivirus atualizada.
  • Faça backup dos seus arquivos.
  • Faça backup dos seus arquivos.
  • Faça backup dos seus arquivos.
Somente para não esquecer FAÇA BACKUP DOS SEUS ARQUIVOS.

11 comentários:

  1. Neste caso o anexo que eu recebo por email é um executável? Ou o simples fato de abrir o anexo "imagem, texto, pdf" o pc sera infectado?

    ResponderExcluir
    Respostas
    1. 99,9% das vezes o arquivo vai ser um executável :D

      Excluir
    2. 99,9% das vezes o arquivo vai ser um executável :D

      Excluir
    3. Tbm Existe arquivo CPL voce nem ve mais ele pode fazer varios download quando voce vai ver ja estara infectado

      Excluir
    4. Tbm Existe arquivo CPL voce nem ve mais ele pode fazer varios download quando voce vai ver ja estara infectado

      Excluir
  2. O mais comum são apresentações do PowerPoint. Arquivos pptx. Esses permitem inbutir softwares maliciosos junto. Enquanto vc assistir a apresentação o vírus já está começando a trabalhar. Não esqueçam qualquer documento do pacote office isso eh possível de ser programando utilizando o recurso de Macros que pode ser habilitado pelo usuário na abertura do arquivo.

    ResponderExcluir
  3. Geralmente faço backup dos meus arquivos importantes no Dropbox. Os demais arquivos como vídeos, fotos e instalações de programas, coloco em uma partição separada do HD. Esta solução é válida para se proteger deste tipo de vírus?

    ResponderExcluir
    Respostas
    1. Acredito que mesmo com uma partição separada o malware consegue criptografar. Sendo root, o acesso é garantido. É o que eu imagino.

      Excluir
  4. Mas só servidores windows estão vulneráveis ao vírus?

    ResponderExcluir
    Respostas
    1. Ate hoje não vi nenhum caso que envolvia servidores linux, porem já vi casos que compartilhamentos utilizando o samba foram comprometidos, pois o ransomware ataca todas as partições/drivers mapeados do sistema.

      Excluir
  5. Mas só servidores windows estão vulneráveis ao vírus?

    ResponderExcluir