STI alerta sobre novo ataque de ransomware

25 de outubro de 2017

A Kaspersky está alertando para um novo ataque massivo de ransomware causando um número crescente de infecções na Rússia. Chamado de Bad Rabbit pela sua própria página pedindo o pagamento do resgate, o novo ataque parece ainda bastante localizado no país, afetando principalmente empresas de mídia e agências de notícias, como a Interfax e a Fontanka.ru.

O ransomware pede 0,05 bitcoin como resgate, algo em torno de US$ 280 na cotação atual. A Kaspersky está comparando o Bad Rabbit com o WannaCry e o Petya, chamando ele de “próxima grande epidemia”, mas o ransomware da vez não está usando um exploit ou uma vulnerabilidade para infectar as máquinas. Ele usa o conhecido truque do instalador falso, que faz o usuário infectar a si mesmo. O ransomware, aparentemente uma variante do NotPetya, infecta usuários que acessam sites comprometidos solicitando que seja realizado o download de uma atualização falsa do Adobe Flash Player, caso o usuário realize o download do arquivo e execute o mesmo, é realizado a cifragem dos dados.

Após a infecção, o ransomware tenta se propagar através da rede local via protocolo SMB, coletando credenciais locais da máquina infectada buscando acesso administrativo em outros computadores da rede.

Nos ambientes infectados é solicitado à vítima o pagamento de uma taxa para envio da chave que poderá decifrar os dados. Porém, de acordo com relatos conhecidos, o pagamento da taxa de resgate ao usuário malicioso não garante que o mesmo irá enviar a chave para decifrar os arquivos, o que torna importante realizar regularmente o backup dos arquivos para recuperação quando necessário.

A Kaspersky afirma que ainda está investigando o ocorrido, então as informações são escassas. Aparentemente outros países também foram afetados em bem menor escala. O site cita Ucrânia, Turquia e Alemanha. A empresa não sabe afirmar se pagar o resgate está devolvendo os arquivos, mas como geralmente acontece nesses casos, é difícil acreditar que o pagamento vai resolver.

Sistemas impactados:

Windows XP
Windows Vista
Windows Server 2008
Windows 7
Windows 8.x
Windows Server 2012
Windows 10
Windows Server 2016

Para evitar ser uma vítima de Bad Rabbit:

Usuários dos produtos Kaspersky Lab:

  1. Certifique-se de que o System Watcher e o Kaspersky Security Network funcionem. Caso contrário, é essencial ativar esses recursos.

Outros usuários:

  1. Bloqueie a execução de arquivos c:\windows\infpub.dat e c:\Windows\cscc.dat (deixar o arquivo em branco e retirar as permissões de leitura e escrita para todos os usuários).
  2. Desative o serviço WMI (se for possível no seu ambiente) para impedir que o malware se espalhe pela sua rede.

Dicas para todos:

1. Manter o backup dos dados atualizados;

2. Manter o sistema operacional atualizado com os patches de segurança;

3. Manter o sistema de proteção antimalware atualizado;

4. Restringir o acesso a porta 445;

5. Utilizar contas administrativas nos sistemas somente quando necessários;

6. Desabilitar o WMIC(Windows Management Instrumentation Command-line) caso o mesmo não esteja sendo utilizado;

7. Isolar computadores Infectados;

8. Realizar atualização do Adobe Flash Player somente no site oficial.

9. Não pague o resgate.

Fontes:

CAIS/RNP
Portal Adrenaline
Kaspersky