Se você tem alguma dúvida sobre segurança da informação (antivírus, invasões, cibercrime, roubo de dados etc.) vá até o fim da reportagem e utilize o espaço de comentários ou envie um e-mail para [email protected]. A coluna responde perguntas deixadas por leitores no pacotão, às quintas-feiras.

Um vírus de resgate, termo em português para "ransomware", é uma praga digital que sequestra o computador, o celular ou os arquivos nele contidos para que a "devolução" dos arquivos só aconteça após um pagamento em dinheiro, ou seja, o "resgate". A maioria dos vírus de resgate não costuma transferir ou roubar as informações dos sistemas atacados, mas isto está mudando.

Segundo um alerta da fabricante de antivírus Trend Micro, novas versões do vírus de resgate conhecido como "Cerber" estão incluindo uma função nova para roubar carteiras de criptomoedas, incluindo de Bitcoin. O roubo, porém, ainda é incompleto: além do arquivo da carteira, os criminosos precisam da senha, que não é capturada. Segundo a Trend Micro, porém, isso é um indício de que os criadores dos vírus de resgate estão procurando outras formas de lucrar com a realização da fraude.

Mais preocupante, porém, é que o vírus possui outro recurso para roubar senhas. O alvo são as senhas salvas nos navegadores web: qualquer senha salva no Internet Explorer, Mozilla Firefox ou Google Chrome será transferida para os criadores do vírus antes mesmo do processo que "sequestra" os arquivos comece.

Esse tipo de comportamento simplesmente não existe nos vírus de resgate que causaram pânico neste ano, como o WannaCry e o NotPetya, que atacou a Ucrânia.




Mensagem de resgate do vírus de resgate Cerber. (Foto: Reprodução - Malwarebytes)

Vantagem dos vírus de resgate também é limitação
Parte do sucesso dos vírus de resgate se deve à velocidade com que eles podem ser acionados.

Durante os anos 90 e início dos anos 2000, a maioria dos vírus se espalhava lentamente, passando de um computador para outro. Os vírus, mesmo os mais destrutivos, eram obrigados a permanecerem dormentes por algum tempo para que houvesse tempo o suficiente para o computador contaminado infectar outros computadores. Do contrário, o responsável tomaria providências para descontaminar a máquina. Esse prazo que o vírus tinha de aguardar dava tempo para o antivírus receber uma atualização e agir.

Quando os vírus passaram a se espalhar rapidamente, graças à internet, criminosos se aproveitaram disso parar criar um infinito número de vírus para roubar dados, especialmente senhas. O problema é que esse tipo de vírus precisa permanecer ativo no computador até que a senha que ele queira roubar seja capturada. O antivírus tem, mais uma vez, um intervalo de tempo para atuar, mesmo que não consiga impedir a contaminação inicial.

O trunfo dos vírus de resgate é que eles podem ser acionados imediatamente após contaminar o computador, não dando tempo para que o antivírus aja. Se um programa de segurança não for capaz de prevenir a contaminação e a ativação do vírus, a "batalha" está perdida. Mas isso também significa que acrescentar funções de outros vírus que demandam paciência, como roubo de senhas, pode eliminar a vantagem inicial do vírus de resgate.

A mesma lógica vale para qualquer vírus de resgate que tente se espalhar sozinho. O NotPetya, por exemplo, retardava sua execução em apenas alguns minutos enquanto o computador contaminado tentava repassar o vírus para outras máquinas da rede. Criminosos vão continuar espalhando esse tipo de vírus através de e-mails e ataques na web.

Por isso, é improvável que os vírus de resgate passem a incluir muitas funções para roubo de dados. E, mesmo que essas funções sejam incluídas, elas não serão muito eficazes enquanto a prioridade do vírus for lucrar cobrando o resgate.

No entanto, está claro que alvos fáceis - como as senhas armazenadas no navegador - já entraram na mira dos criadores dos vírus de resgate. E, se alguém por acaso usar a mesma senha que foi salva no navegador para a carteira de Bitcoin, esta também será perdida.

Infelizmente, quem for vítima de uma praga desse tipo já deve considerar obrigatória a troca das senhas - ao menos das senhas salvas no navegador e das senhas que foram usadas pouco antes do vírus ser acionado.


Siga a coluna no Twitter em @g1seguranca. Até a próxima!

A fabricante de antivírus Malwarebytes lançou esta semana um conjunto de ferramentas gratuitas para recuperar arquivos embaralhados pelo vírus de resgate Petya. As ferramentas funcionam para as três versões do vírus (conhecidas como "vermelha", "verde" e "dourada" ou GoldenEye) e também são capazes de recuperar o setor de inicialização do disco rígido, caso ele tenha sido travado pelo vírus.

Vírus de resgate são pragas digitais que alteram ou embaralham os arquivos guardados no computador. O objetivo é impedir o acesso aos dados até que a vítima pague um "resgate" que concederá acesso á uma chave para abrir os arquivos.

O programa não é capaz de recuperar arquivos sequestrados pelo vírus ExPetr, também chamado de NotPetya. Essa praga é uma modificação do Petya que atacou sistemas da Ucrânia e em alguns outros locais da Europa e especialistas acreditam que os arquivos danificados pela praga são totalmente irrecuperáveis em alguns casos.

SAIBA MAIS
'Novo Petya' é praga destrutiva e não vírus de resgate, dizem especialistas

Os links para as ferramentas e as instruções de uso estão disponíveis no blog da Malwarebytes.

O programa de recuperação foi possibilitado pelo próprio autor do vírus, que liberou a chave mestra do vírus. A chave foi divulgada pouco depois de os supostos autores do ExPetr solicitarem R$ 850 mil pela chave mestra do vírus. As chaves, porém, são diferentes, apesar das semelhanças entre os vírus.

A maioria dos vírus de resgate não permite que os arquivos sejam recuperados no momento da contaminação. Mas a liberação de uma ferramenta do Petya reforça a recomendação para que usuários mantenham os arquivos criptografados guardados, já que existe uma chance de que ferramentas de recuperação sejam criadas em um momento futuro.

Petya
Em circulação desde o início de 2016, o vírus de resgate Petya foi "alugado" por seu autor para uso por terceiros. O vírus chamou atenção pela sua capacidade de se embutir no setor de inicialização do disco rígido, impedindo totalmente o computador de funcionar. A maioria dos vírus de resgate evita causar qualquer dano ao sistema para que a vítima tenha pleno acesso à internet e possa pagar o resgate cobrado pelo vírus.

A primeira e a segunda versão do vírus tinham erros que permitiam que os arquivos fossem recuperados, mas a terceira versão do vírus, a "dourada", não tinha mais erros em seu código. A ferramenta da Malwarebytes fornece o primeiro método para recuperar os arquivos sequestrados por essa versão do vírus.

Dúvidas sobre segurança, hackers e vírus? Envie para [email protected]

A empresa de segurança Palo Alto Networks publicou um alerta sobre um golpe que mira os internautas brasileiros com uma mensagem de e-mail falsa trazendo uma cobrança do Imposto Predial e Territorial Urbano (IPTU). A fraude já circula há algum tempo, mas ela é notável pela maneira que se instala e é executada no computador, se "disfarçando" de um conhecido programa de segurança usado pelos bancos para monitorar a atividade do computador e roubar senhas.




Reprodução do e-mail com o golpe com indicação do verdadeiro link da mensagem. (Foto: Palo Alto Networks)

O golpe começa com a mensagem de e-mail. Caso a vítima clique, é oferecido um download de um pequeno arquivo ZIP contendo um atalho. Esse atalho tira proveito de um comando interno do Windows para baixar e executar o instalador do vírus. O instalador por sua vez baixa uma versão antiga de um programa de segurança usado por bancos brasileiros.

O objetivo disso é fazer com que o programa de segurança sirva de intermediário para carregar o vírus. Isso é possível porque o programa tenta carregar um arquivo específico localizado na mesma pasta em que ele se encontra. Logo, o vírus pode colocar o programa de segurança e seu próprio código na mesma pasta (em formato "DLL"), garantindo que o programa de segurança carregará o vírus quando ele for iniciado (veja, na imagem, o programa de segurança legítimo e a DLL do vírus na mesma pasta).

Essa tática faz com que o vírus fique na memória com o nome do programa de segurança. Assim, vai ser mais difícil identificar que há algo de errado usando programas como o Gerenciador de Tarefas do Windows, que enxergam apenas o nome do programa principal e não os componentes carregados.

"Os usuários localizados no Brasil ou pessoas que usam serviços bancários on-line brasileiros devem estar cientes dessa ameaça e tomar as precauções necessárias, como não clicar em links em emails suspeitos", recomendou Palo Alto Networks.

(Imagens: Reprodução/Palo Alto Networks)
Dúvidas sobre segurança, hackers e vírus? Envie para [email protected]

Se você tem alguma dúvida sobre segurança da informação (antivírus, invasões, cibercrime, roubo de dados etc.) vá até o fim da reportagem e utilize o espaço de comentários ou envie um e-mail para [email protected]. A coluna responde perguntas deixadas por leitores no pacotão, às quintas-feiras.

As estatísticas divulgadas pelo Centro de Estudos, Resposta e Tratamento de Segurança no Brasil (CERT.br) nesta segunda-feira (17), mostrando o aumento de ataques que tiram sites do ar realizados no Brasil em 2016, confirmam as estatísticas já apresentadas por outras empresas, como Level 3 e Imperva, de que o Brasil foi um dos mais impactados por vírus que atacaram a "internet das coisas".

Embora a "internet das coisas" seja vista como um cenário em que tudo é conectado, de torradeiras a geladeiras, no mundo de hoje os dispositivos atacados são principalmente câmeras de vigilância e gravadores digitais de vídeo conectados a essas mesmas câmeras. O Brasil foi, segundo estatísticas, um dos países que mais alojou dispositivos infectados pelo vírus Mirai, criado exatamente para realizar ataques que tiram sites do ar.

O resultado disso aparece nas estatísticas do CERT como um aumento de 138% dos relatos de ataque de negação de serviço distribuída (DDoS) envolvendo sistemas brasileiros. "DDoS" é o tipo de ataque realizardo para tirar sites do ar.

No caso do Mirai, os sistemas contaminados foram responsáveis pela queda do provedor de serviços de internet Dyn, o que derrubou diversos serviços e sites da web, como Twitter, Netflix e CNN e Reddit. Outros ataques realizados pelo mesmo vírus atingiram o provedor francês OVH e o site do jornalista de segurança Brian Krebs.

Esse tipo de estatística é preocupante, porque o vírus Mirai não é nada sofisticado. Muito pelo contrário: ele se aproveita dos erros mais "ridículos", como senhas repetidas e fracas, dispositivos desatualizados e ausência de qualquer filtragem de tráfego na rede. São erros de manutenção e configuração que os técnicos responsáveis por essas instalações deveriam saber evitar ou resolver. Fabricantes também deveriam ter alertado os consumidores sobre os riscos quando atualizações foram lançadas. Mas não há, no Brasil, qualquer tradição para esse tipo de contato.

Outro fator preocupante é que muitos dispositivos podem ser antigos demais e já não recebem atualizações dos fabricantes. Como a tecnologia custa caro no Brasil - porque tende a ser totalmente importada -, a renovação tecnológica não é tão rápida quanto em outros países. Equipamentos antigos e impossíveis de serem protegidos podem continuar em uso pela falta de recursos para uma nova troca. Esse cenário deveria pesar ainda mais para uma preocupação com a segurança na hora da compra, mas a oferta de um produto barato, ainda que inseguro, acaba parecendo mais interessante.

Infelizmente, ao contrário do que está começando a acontecer na Europa, as autoridades brasileiras continuam inertes. Nenhum movimento foi realizado para conscientizar os consumidores ou para obrigar - ou, no mínimo, orientar - que fabricantes sejam mais proativos na questão de segurança.

Resta torcer para que não tenhamos um novo "Mirai" que piore esses números até o ano que vem.

(Foto: Divulgação)
Siga a coluna no Twitter em @g1seguranca.

Especialistas da empresa de segurança Check Point divulgaram uma nova análise do vírus "Dok", uma praga inicialmente identificada em maio e que se destacou pela sua capacidade de interceptar o tráfego de navegação de usuários do macOS, o sistema da Apple usado em Macbooks e iMacs. O vírus continua ganhando versões novas que agora miram diretamente sites bancários para a interceptação de dados.

O vírus utiliza um arquivo de configuração de proxy (chamado de "arquivo PAC") para decidir quais sites serão interceptados pelo vírus. Um proxy é um servidor intermediário em uma conexão. Segundo a Check Point, o conteúdo do arquivo PAC muda conforme o país da vítima, o que significa que os criminosos apenas interceptam as conexões com os bancos que eles acreditam que moradores daquele país vão acessar.

O uso de arquivos PAC é uma técnica muito comum em pragas digitais para Windows. A Check Point informa que, investigando a informação recebida de outro especialista, concluiu que o Dok é de fato uma adaptação de um vírus chamado Retefe, criado para o Windows.




Tela de configuração do macOS mostrando proxy (servidor intermediário) malicioso (127.0.0.1:5555/sRfTcDHGvt.js) configurado. (Foto: Check Point)

Não se sabe se algum banco brasileiro está na lista do vírus.

Além de interceptar o tráfego, o vírus bloqueia as atualizações do sistema para impedir que mecanismos de defesa do macOS detectem e removam a praga digital. Ele também é assinado digitalmente com um certificado adquirido da própria Apple para burlar o recurso de segurança Gatekeeper.

Segundo a Check Point, a Apple vem revogando esses certificados, mas os responsáveis pelo vírus adquirem novos certificados diariamente para manter o ataque funcional em novas campanhas. Cada certificado custa 99 dólares.

Páginas falsas
Caso a vítima visite o site de uma instituição financeira alvo do vírus, o navegador baixará uma página clonada do site e qualquer informação digitada na página será enviada para os criminosos.

Em determinados casos, o vírus solicita que a vítima instale o aplicativo de mensagens Signal no celular. A Check Point não tem certeza sobre qual a finalidade dessa solicitação, já que o Signal é um aplicativo de comunicação legítimo. A empresa levantou a hipótese de que os bandidos tenham interesse em manter um canal de comunicação aberto com a vítima para burlar certos mecanismos antifraude dos bancos.

As páginas falsas são baixadas de um servidor localizado na rede anônima Tor. Dessa maneira, não é possível identificar a localização da infraestrutura que está sendo usada na fraude.

Dúvidas sobre segurança, hackers e vírus? Envie para [email protected]

O autor do vírus Petya publicou um tuíte com um link para um arquivo e uma charada que fazia referência ao filme "007 Contra GoldenEye". Especialistas conseguiram resolver a charada e descobrir que o arquivo se trata de uma chave aparentemente capaz de decifrar todos os arquivos sequestrados pelas versões antigas do vírus Petya.

A chave não consegue fazer nada com os arquivos criptografados pelo "novo Petya", também chamado de ExPetr. O ExPetr é o vírus que infectou diversos computadores na Ucrânia cujos responsáveis publicaram um pedido de resgate de R$ 850 mil pela chave mestra equivalente do novo vírus.

Diversos especialistas, incluindo analistas de vírus da Kasperky Lab e da Malwarebytes, apontam que o novo vírus é bastante diferente do Petya anterior. É possível, inclusive, que o ExPetr não seja de fato um vírus de resgate, mas sim um vírus "wiper" - que destrói arquivos e o sistema operacional sem intenção de permitir recuperá-los.

O comportamento de vírus de resgate, nesse caso, seria apenas um disfarce adotado pelo ExPetr para ocultar suas reais intenções.

A atitude do autor do Petya original acrescenta mais uma reviravolta no ataque que atingiu a Ucrânia e engrossa a lista de indícios de que o novo vírus não tem relação com nenhum ataque já realizado. Autoridades ucranianas culpam a Rússia pelo ocorrido, assim como por dois outros ataques cibernéticos contra o país que causaram apagões elétricos em 2015 e 2016.

Apesar de curiosa, está não é a primeira vez que um autor de vírus de resgate toma a atitude de liberar a chave. O autor do vírus TeslaCrypt fez a mesma coisa após o contato de um especialista antivírus.





Twwet do criador do vírus Petya com link para arquivo hospedado no Mega.nz e referência a cena do filme 007 Contra GoldenEye. (Foto: Reprodução)

O Petya é um vírus de resgate criado no início de 2016. Suas primeiras versões apresentavam falhas de programação que permitiam a recuperação dos arquivos. A versão 3, também chamada de "Goldeneye", eliminou esses problemas. Quem foi infectado pela versão 3 do vírus, porém, agora também terá uma chance de recuperar os arquivos.

O Petya era alugado pelo autor para outros criminosos, que então faziam uso do vírus. O ExPetr seria uma adaptação "pirateada e extendida" do Petya original.

O ExPetr, embora tenha algumas semelhanças com o Petya, utiliza uma chave diferente. Além disso, nos casos em que o vírus regrava o setor de inicialização, a chave que seria capaz de recuperar os arquivos é aparentemente destruída durante o processo, o que impede a recuperação dos arquivos nesses casos.

SAIBA MAIS:
'Petya' x WannaCry: veja diferenças do novo ataque cibernético

Dúvidas sobre segurança, hackers e vírus? Envie para [email protected]