Cuiabá | MT 29/03/2024
Pesquisa/Tecnologia
Quarta, 25 de outubro de 2017, 11h42

Novo ataque de ransomware, Bad Rabbit chegara ao Brasil


 

Fotos: ESET
Pop-up distorcido pede atualização com falso Flash

TechTudo

Um terceiro ataque de ransomware está em ascensão e já chegou ao Brasil. Depois de casos globais envolvendo WannaCry e ExPetr — também chamado por alguns especialistas de Petya e NotPetya— o novo malware que bloqueia dados dos computadores é o Bad Rabbit. Segundo a Kaspersky, o nome aparece em um site da darknet vinculado ao vírus com uma nota de pedido de resgate em bitcoin (comum em casos de ransom).

Entenda por que hackers pedem resgate de ransomware em bitcoin

A iniciativa começou na Rússia e na Ucrânia e ganhou volume na terça-feira (24), causando atrasos no aeroporto ucraniano de

Odessa e afetando vários meios de comunicação na Rússia, incluindo a agência de notícias Interfax e Fontanka.ru. Horas depois, afetou o sistema de metrô em Kiev, na Ucrânia, o que gerou um alerta para outras empresas de serviços de massa e finanças na região.

Os criminosos por trás do ataque Bad Rabbit estão exigindo 0,05 bitcoin como resgate — o que é cerca de US$ 280 na taxa de câmbio atual da criptomoeda. Assim como em outros casos, o vírus usa um contador regressivo para pressionar a vítima a pagar pelo resgate o quanto antes. Não há garantias, porém, de que ao pagar a quantia pedida em bitcoin, os hackers vão liberar os seus dados no PC.

No Brasil, empresas do setor de comunicação e de outras áreas alertaram para presença do ransomware na manhã desta quarta-feira (25). Segundo análise da Kaspersky, fabricante russa de antivírus, o ataque não usa explorações (exploits). É um drive-by attack: as vítimas baixam um falso instalador Adobe Flash Player de sites infectados e iniciam manualmente o arquivo .exe, infectando os seus PCs.

Vale notar que este é um ataque que funciona em computadores Windows.

Ou seja, se você entrar em algum site que solicite a atualização do Flash para ver um vídeo ou ter acesso a algum conteúdo, não a faça via pop-ups do próprio site. Você pode descobrir se está utilizando a versão mais recente no próprio site da Adobe e obter o download seguro e original do Flash caso seja necessário seu uso.

Ao clicar no botão "Instalar", o download de um arquivo executável é iniciado. Este arquivo, encontrado como install_flash_player.exe, é que causa o bloqueio dos seus dados na máquina.

"Nossos pesquisadores detectaram uma série de sites comprometidos, todos sites de notícias ou de mídia", afirma o documento publicado pela Kaspersky. A empresa de segurança, entretanto, ainda não tem informações sobre a possibilidade de recuperar os arquivos encriptados pelo vírus ransomware Bad Rabbit — seja pagando o resgate ou usando alguma falha no código do malware.

A Kaspersky afirma que, por enquanto, a maioria das vítimas do Bad Rabbit está na Rússia. Também foram vistos ataques semelhantes, porém em menor volume, na Ucrânia, na Turquia e na Alemanha. A fabricante de antivírus afirma ainda que o ataque é direcionado contra redes corporativas, usando métodos semelhantes aos usados no ExPetr, mas sem relação comprovada com ataques anteriores.

 

Tela do PC bloqueada após a instalação do falso Flash

De acordo com a ESET, a Rússia tinha mais da metade das vítimas nesta manhã, seguida de Ucrânia, Bulgária, Turquia e também do Japão. A fabricante do NOD32 também liberou uma lista de sites afetados que devem ser evitados.

Rússia: 65%

Ucrania: 12.2%

Bulgaria: 10.2%

Turquia: 6.4%

Japão: 3.8%

Outros: 2.4%

Lista de sites afetados pelo Bad Rabbit que sugerem falso Flash

"Alguns sites populares estão comprometidos com JavaScript injetado em seu corpo HTML ou em um de seus arquivos .js", informa a ESET. São eles:

hxxp://argumentiru[.]com

hxxp://www.fontanka[.]ru

hxxp://grupovo[.]bg

hxxp://www.sinematurk[.]com

hxxp://www.aica.co[.]jp

hxxp://spbvoditel[.]ru

hxxp://argumenti[.]ru

hxxp://www.mediaport[.]ua

hxxp://blog.fontanka[.]ru

hxxp://an-crimea[.]ru

hxxp://www.t.ks[.]ua

hxxp://most-dnepr[.]info

hxxp://osvitaportal.com[.]ua

hxxp://www.otbrana[.]com

hxxp://calendar.fontanka[.]ru

hxxp://www.grupovo[.]bg

hxxp://www.pensionhotel[.]cz

hxxp://www.online812[.]ru

hxxp://www.imer[.]ro

hxxp://novayagazeta.spb[.]ru

hxxp://i24.com[.]ua

hxxp://bg.pensionhotel[.]com

hxxp://ankerch-crimea[.]ru

As informações sobre os métodos de propagação ainda são confusas. Há relatos de que o malware usa mesma falha EternalBlue para se espalhar — o que o tornaria mais próximo de WannaCry e Not-Petya. Outros, afirmam que o vírus tenta acesso via compartilhamentos, usando uma lista pré-definida de usuários e senhas padrão, obtida por meio do Mimikatz. É certo, porém, que o malware usa o DiskCryptor, um software legítimo e opensource de critpografia total do discos.

A Kaspersky sugere desativar o WMI do Windows para evitar infecções em rede. 




Busca



Enquete

O Governo de MT começou a implantar o BRT entre VG e Cuiabá. Na sua opinião:

Será mais prático que o VLT
Vai resolver o problema do transporte público.
É uma alternativa temporaria.
  Resultado
Facebook Twitter Google+ RSS
Logo_azado

Plantão News.com.br - 2009 Todos os Direitos Reservados.

email:redacao@plantaonews.com.br / Fone: (65) 98431-3114