Se você tem alguma dúvida sobre segurança da informação (antivírus, invasões, cibercrime, roubo de dados etc.) vá até o fim da reportagem e utilize o espaço de comentários ou envie um e-mail para [email protected]. A coluna responde perguntas deixadas por leitores no pacotão, às quintas-feiras.

O ano de 2017 ficou marcado por grandes ataques envolvendo vírus de resgate - caso do vírus WannaCry, que contaminou a Europa e chegou a interferir com hospitais no Reino Unido -- ou, também, vírus de outros tipos que tentaram se passar por vírus de resgate (caso da praga NotPetya, que contaminou a Ucrânia). Mas dados e análises de várias empresas de segurança apontam que essas pragas não só estão em declínio, como também já estavam em declínio em 2017.

Segundo um relatório da empresa de segurança SonicWall, o número total de ataques caiu de 638 milhões em 2016 para 184 milhões em 2017. Outras três empresas de segurança - Palo Alto Networks, Malwarebytes e Check Point - observaram que criminosos estão trocando os vírus de resgate por programas que mineram criptomoedas.

O blog Segurança Digital preparou a lista abaixo para destacar as possíveis razões por trás desse declínio.

Vírus de resgate são uma 'bomba' digital
O vírus de resgate criptografa os arquivos do computador e impede o acesso aos dados para depois pedir um pagamento -- o resgate -- para recuperar os arquivos. Se a vítima não pagar, o vírus não terá dado nenhum lucro aos seus criadores.

A mineração de criptomoedas, por sua vez, gera um lucro certo e permanente. Desde que a vítima não perceba o vírus, ele vai continuar gerando algum lucro para os bandidos. A vítima vai pagar na conta de luz -- porque o vírus vai usar o processador do computador e consumir energia para realizar a mineração de criptomoedas --, mas a chance de tudo passar despercebido é incomparável, já que nenhum vírus de resgate consegue atuar e permanecer invisível.

Tendo presença no computador da vítima, o criminoso ainda pode mais tarde realizar roubos de informações.




Vírus de resgate manifestam sua presença para exigir o pagamento. Dessa forma, o vírus é obrigado a se 'entregar', o que torna as pragas incompatíveis com outros tipos de ataques que exigem discrição. (Foto: Reprodução)

Truque está sendo combatido com backups
Os vírus de resgate demonstraram a importância de realizar backups (cópias de segurança) para que um arquivo possa ser recuperado no caso de um imprevisto. Serviços de armazenamento em nuvem, como o IDrive e o OneDrive, criaram mecanismos para restaurar arquivos criptografados.

Quanto mais pessoas estiverem preparadas com backups, menores são as chances das vítimas pagarem o resgate.

Lavagem de dinheiro ficou mais difícil
O pagamento dos vírus de resgate costuma ser solicitado em Bitcoin. Essas moedas precisam ser vendidas em uma "exchange" (ou "corretora") de moedas virtuais para serem trocadas por dólares ou reais. Em julho de 2017, autoridades prenderam o responsável pela BTC-e, uma corretora de criptomoedas acusada de ter intermediado a retirada de boa parte do dinheiro obtido com vírus de resgate e outras fraudes on-line.

Nesse meio tempo, novas regulamentações foram criadas e as tarifas de Bitcoin também aumentaram (o que significa que os pagamentos ficaram mais caros). Embora criminosos tenham experimentado moedas "alternativas" (como a Monero), essas moedas quase sempre precisam ser convertidas em Bitcoin antes de serem trocadas por dólares. Alguns vírus mais recentes estão optando pela criptomoeda "Dash".

O dinheiro proveniente da mineração de criptomoedas, por outro lado, é considerado dinheiro limpo. Uma vez que moedas foram recebidas por colaborações no processo de mineração, é difícil determinar se essa colaboração ocorreu em computadores do colaborador ou se o hardware foi utilizado sem autorização. Na prática, o criminoso consegue trocar as moedas em qualquer corretora, sem levantar suspeita.

Pessoas foram acusadas
Não foi só o responsável pela BTC-e que acabou nas mãos das Justiça. Em 2017, foram presos suspeitos na Romênia, nos Estados Unidos no Reino Unido, acusados de operarem ataques de vírus de resgate. No fim de março de 2018, outros três indivíduos foram presos na Polônia, acusados de programarem as pragas digitais.

Kits de ataque estão menos eficazes
Com os navegadores web criando entraves para o uso do Adobe Flash Player - uma das principais portas de entradas para vírus nos computadores --, ficou mais difícil para que páginas maliciosas da web infectem o computador dos internautas.

Quando os criminosos são obrigados a recorrer a táticas mais tradicionais (enganar vítimas oferecendo um software, mas entregando outro, por exemplo), o vírus de resgate possui mais dificuldades para manter a fraude em funcionamento, pois a probabilidade de o arquivo logo ser denunciado é maior.

Embora as causas específicas do que levou a essas mudanças no mundo do cibercrime seja desconhecida, é possível que todos esses fatores tenham contribuído para o cenário atual. A estimativa é que o número de ataques caia mais uma vez em 2018 em relação ao ano anterior, mas empresas ainda precisam ter cuidado com ataques direcionados e mais sofisticados.


Siga a coluna no Twitter em @g1seguranca.

Criminosos virtuais conseguiram faturar R$ 200 mil em três meses explorando uma brecha de segurança em uma versão obsoleta do Windows para realizar a mineração da criptomoeda Monero. O ataque, revelado pela empresa de segurança Eset, se destacou pela simplicidade: quase todos os códigos foram "receitas de bolo" retiradas da web, com pouquíssimas alterações.

Para atacar os sistemas, os criminosos usaram uma brecha revelada em março deste ano e que afeta o Windows Server 2003 R2. Essa versão do Windows não recebe mais atualizações de segurança da Microsoft desde julho de 2015. A brecha está presente no IIS, o servidor web do Windows. Isso significa que os sistemas vulneráveis normalmente estão abertos e expostos na internet e podem ser atacados com facilidade. A brecha é grave e permite que o sistema vulnerável seja contaminado imediatamente, sem qualquer interferência de usuário ou administrador.

Como o Windows Server R2 e o IIS não são usados em ambientes domésticos, a maioria dos ataques deve ter comprometido empresas e, principalmente, donos de sites.

Embora a Microsoft tenha excepcionalmente lançado atualizações para sistemas obsoletos após os ataques do WannaCry, e que a brecha explorada por esse ataque esteja entre as falhas eliminadas, as atualizações automáticas não funcionam corretamente nesses sistemas, o que deixa muito deles vulneráveis.

Os criminosos usaram um código pronto, porém levemente modificado, para atacar os sistemas. Ao ser explorado, o computador baixa um minerador da criptomoeda Monero. Os ataques partiram de sistemas operados pelos próprios criminosos.

A Monero é uma criptomoeda semelhante ao Bitcoin. Diferente do Bitcoin, no entanto, a Monero não dispõe de chips específicos para sua mineração. Isso significa que o poder de processamento de computadores comuns já é suficiente para conseguir obter algum faturamento com a mineração da moeda.

Segundo a Eset, os ataques começaram no dia 26 de maio. Desde então, os criminosos têm realizado os ataques em "ondas" para encontrar e invadir novos sistemas vulneráveis na internet.

"Às vezes é preciso muito pouco para se ganhar muito, e isso é especialmente verdadeiro no mundo atual da cibersegurança, onde até mesmo vulnerabilidades bem documentadas e conhecidas há bastante tempo ainda são muito efetivas por causa da falta de conscientização de muitos usuários", afirmou a Eset.

Dúvidas sobre segurança, hackers e vírus? Envie para [email protected]

Se você tem alguma dúvida sobre segurança da informação (antivírus, invasões, cibercrime, roubo de dados etc.) vá até o fim da reportagem e utilize o espaço de comentários ou envie um e-mail para [email protected]. A coluna responde perguntas deixadas por leitores no pacotão, às quintas-feiras.

>>> CCleaner infectado
Estou acompanhando e li sua notícia sobre o incidente de segurança com o Ccleaner, porém, me surgiram as seguintes dúvidas:

1- Meu sistema não tem um ponto de restauração anterior ou igual ao dia 15/08/2017, e agora?

2- Li em outros sites que um especialista da Cisco afirmou que o malware não chegou a ser "efetivado/ativado" ele estava apenas em uma fase de coleta de dados e foi devidamente desativado. Mas como isso é possível, desativar um malware? (isso só seria possível para o usuário ou para o criminoso, não?)

3- Por que a Avast recomenda apenas atualizar o Ccleaner, sem nenhuma forma de remoção ou desinfecção? A ameaça irá permanecer presente no sistema, não é mesmo?

4- O MBAM detectou que o Ccleaner 5.33 estava infectado em 17/09/2017, porém eu não o removi através do MBAM, eu executei a desinstalação do Ccleaner manualmente e removendo todas as pastas e vestígios, logo em seguida reiniciei o sistema e executei uma verificação completa com o MBAM e nada foi encontrado. Creio que como esse malware é desconhecido, ainda posso estar comprometido devido algum tipo de processo criado pelo malware, correto?
Henrique

Henrique, vamos lá:

1. Se você não se sente confortável em seguir usando o sistema após uma contaminação por vírus, o ideal é reinstalar o sistema operacional e todos os demais programas. Se você segue boas práticas de segurança, já deverá possuir um backup dos seus arquivos. Caso você use o Windows 10, a reinstalação do Windows é bastante fácil e você pode acessá-la a partir de Configurações > Atualizações e segurança.

2. Isso é bastante questionável. Não é possível saber exatamente como o CCleaner infectado se comportou em todos os computadores que o executaram, porque o comportamento dependia de uma ordem do servidor remoto. É possível que códigos maliciosos diferentes tenham sido distribuídos para computadores diferentes. Por enquanto, não há evidências de danos maiores, nem de vírus distintos, mas isso não quer dizer que algo maior não tenha acontecido.

Vou usar outro exemplo para ficar mais fácil de entender. Existem ataques chamados de "watering hole", em que um invasor ataca um site de internet que será visitado pela sua vítima. Quando a vítima visita o site, o código embutido pelo invasor tenta contaminar o computador.

No entanto, o código, antes de infectar a máquina completamente, tenta garantir que o sistema alvo é realmente o alvo e não um outro visitante qualquer. Isso diminui a exposição do vírus aos programas de segurança, aumentando as chances de ele passar despercebido.

Do mesmo modo, é esse ataque ao CCleaner pode ter tido alvos bastante específicos e que foram atacados de um modo que não foi descoberto até agora. Como a base de usuários do CCleaner é muito grande, os invasores podem ter atingido os mais diversos alvos com essa ação. Pela qualidade do ataque, porém, não parece que a intenção deles foi apenas contaminar o maior número de usuários possível.

3. Como o código inicial do vírus estava apenas no CCleaner e muitos computadores não chegaram a receber o segundo estágio da contaminação, atualizar o CCleaner basta para eliminar o problema.

4. A possibilidade é bastante pequena. Se um código malicioso avançado foi distribuído por meio do CCleaner, é pouco provável que ele tenha atacado justamente o seu computador (a não ser que você, por algum motivo, estava entre os alvos dos invasores). No entanto, apesar de a probabilidade ser extremamente baixa, não é possível descartá-la por completo.

Apenas uma perícia minuciosa do seu computador poderia afirmar se há ou não algum resquício. No geral, você precisa confiar nos programas de segurança. Se o programa não acusa nenhum problema, o melhor é não ficar paranoico.

>>> Anúncio no celular
Olá, vi a matéria [sobre anúncios fraudulentos em celular] e gostaria de confirmar as informações presentes nela. Aconteceu a mesma coisa comigo! Meu celular começou a vibrar e apareceu uma mensagem dizendo que meu celular estava com 2 tipos de vírus e me direcionou para um app chamado ANTIVÍRUS ACELERADOR E LIMPEZA, no entanto meu celular não apresentou nada de anormal. Por isso apenar gostaria de confirmar se preciso tomar alguma medida ou foi apenas um alerta falso. Aguardo resposta. Desde já, obrigado.
José Ailton

José, o mais provável é que não tenha que tomar medida alguma. Esses anúncios são totalmente falsos. Eles utilizam funções do próprio celular para fazer o aparelho vibrar e/ou emitir sons. Também é normalmente utilizado um truque - que é bastante simples, porém eficaz - para que você não consiga usar o botão "voltar". Por isso, a tela fica travada na mensagem de alerta até que você feche o navegador de internet.

No entanto, depois que você fechar o navegador, não há mais nada com o que se preocupar, especialmente se você não instalou o aplicativo sugerido pela mensagem. Como os aplicativos raramente possuem qualquer relação com o "erro" falso apresentado, em geral não há qualquer necessidade de instalar o app.

Se o seu celular não apresenta nada de anormal, pode ficar tranquilo.


O pacotão da coluna Segurança Digital vai ficando por aqui. Não se esqueça de deixar sua dúvida na área de comentários, logo abaixo, ou enviar um e-mail para [email protected]. Você também pode seguir a coluna no Twitter em @g1seguranca. Até a próxima!

O pesquisador de segurança Attila Marosi, da fabricante de antivírus Sophos, revelou que criminosos faturaram ao menos 76 mil euros (cerca de R$ 280 mil) criando um vírus que realiza mineração da moeda digital Monero. A praga digital se copia automaticamente para pastas abertas na internet e usuários acabam executando o vírus, transformando o computador em um "escravo computacional" dos hackers.

O ataque é bastante simples: o vírus copia a si mesmo para dispositivos que estão com pastas de FTP na internet que estejam sem senha ou com senha fraca. O FTP é um protocolo de comunicação popular para a transferência de arquivos e é usado especialmente por administradores de sistema e equipamentos de armazenamento em rede.

No entanto, copiar um arquivo para a pasta de FTP não é suficiente para contaminar um sistema: o dono do computador precisa executar o vírus. Para que as vítimas façam isso, a praga usa o nome de "Photos.scr" e tem o ícone de uma pasta compactada. Ou seja, quando a vítima visualiza a pasta compartilhada no computador, ela só vê o que é aparentemente um arquivo inofensivo chamado "Photos", já que a extensão ".scr" não é exibida pelo Windows na configuração padrão.

Um dos principais dispositivos afetados pela praga são os sistemas de armazenamento em rede Seagate Central. Esses sistemas possuem um recurso que abre uma pasta pública para a rede quando a função de acesso remoto é ativada, abrindo uma brecha para o vírus.

Quando o vírus é executado, ele passa a fazer uso do poder de processamento da máquina da vítima para minerar a moeda digital Monero.

Mineração com sistema alheio
A Monero é uma alternativa a outras moedas criptográficas, como Bitcoin e Dogecoin. Assim como essas outras moedas, ela permite que usuários colaborem com a rede e sejam, em certas circunstâncias, recompensados com moedas. Esse processo chama-se de "mineração" e normalmente exige um alto poder de processamento, bem como uma avaliação do uso da energia elétrica do equipamento que será usado para que o custo da mineração não exceda os possíveis ganhos.

Criminosos utilizaram diversas pragas para minerar a moeda Bitcoin usando computadores de vítimas, mas o retorno com essa atividade caiu muito com o crescimento da dificuldade para se "minerar" bitcoins. Porém, como a Monero é nova - ela foi criada em 2014, enquanto o Bitcoin existe desde 2009 -, ela não precisa de uma grande capacidade de processamento tão grande quanto o Bitcoin para que se consiga boas chances de receber moedas.

Por isso, apesar dos hackers não terem infectado tantos computadores, eles ainda conseguiram moedas Monero suficientes para faturar R$ 280 mil - sem precisar adquirir equipamento de processamento ou pagar energia elétrica.

Proteção
A maioria dos usuários não tem uma pasta de FTP aberta e, portanto, não está vulnerável a esse ataque. Para os donos do Seagate Central, segundo a Sophos, não é possível desativar somente o acesso remoto público sem senha - o único meio de se proteger é desativar completamente o acesso remoto ao dispositivo, o que pode deixar alguns recursos indisponíveis.

Para usuários mais avançados, uma opção é configurar um firewall que libere apenas o acesso de sistemas autorizados.

De acordo com um mapa divulgada pela fabricante de antivírus, há vítimas do vírus no Brasil.

Imagem: ícone de pasta compactada usado pela Photos.scr. (Foto: Reprodução/Sophos)

Dúvidas sobre segurança, hackers e vírus? Envie para [email protected]

Solicitação de pagamento de ransomware ou 'vírus de resgate'. (Foto: Reprodução/TV Globo)

Uma pesquisa encomendada pela fabricante de antivírus Trend Micro no Reino Unido e publicada nesta quarta-feira (7) revelou que duas em cada três empresas infectadas por um vírus de resgate acabam pagando para tentar recuperar as informações perdidas. No entanto, em 54% dos casos, a vítima não recebe os dados de volta.

O levantamento, feito com 305 executivos de tecnologia de empresas com mais de mil funcionários, mostrou que, entre as companhias que não tiveram problemas com vírus de resgate, 74% dizem que jamais pagariam o valor cobrado pelos criminosos. Em outras palavras, apenas 26% das empresas admitem que vão pagar, mas 65% acabam pagando.

Os vírus de resgate, ou "ransomwares", são pragas digitais que criptografam os arquivos do computador contaminado. Essa criptografia impede o acesso aos dados e é praticamente irreversível em muitos casos, mas o vírus deixa uma mensagem com uma oferta: caso uma certa quantia seja paga, os criminosos entregarão a chave para decifrar os arquivos.

Na pesquisa encomendada pela Trend Micro, as empresas puderam fornecer razões para o pagamento do resgate digital. O principal motivo, dado por 37% das empresas, é de que havia um temor relacionado ao pagamento de multas caso os dados fossem perdidos. Outras empresas argumentaram que os dados eram altamente confidenciais (32%) e que o valor do resgate era baixo (29%).

O valor médio solicitado pelos criminosos foi de 540 libras, ou cerca de R$ 2,3 mil.

Entre as empresas inferctadas que não pagaram, 66% disseram que não negociam com criminosos, 60% afirmaram que puderam recuperar dados de backup e 26% acreditavam que os dados perdidos não eram valiosos ou confidenciais e, por isso, não havia necessidade de pagar.

Segundo a pesquisa, 44% das empresas no Reino Unido foram infectadas por algum vírus de resgate nos últimos dois anos. Destas, 27% tiveram ao menos duas infecções.

Dúvidas sobre segurança, hackers e vírus? Envie para [email protected]

Se você tem alguma dúvida sobre segurança da informação (antivírus, invasões, cibercrime, roubo de dados etc.) vá até o fim da reportagem e utilize o espaço de comentários ou envie um e-mail para [email protected]. A coluna responde perguntas deixadas por leitores no pacotão, às quintas-feiras.

>>> Acesso a dados de iPhone na Lava Jato
Altieres, tenho lido que a criptografia do iPhone impede as autoridades de acessar seu conteúdo, mas li que os investigadores da Operação Lava Jato conseguiram acessar os dados dos iPhones dos investigados. Como pode isso?

Nessa matéria abaixo o FBI não consegue acessar um iPhone
Justiça dos EUA manda Apple burlar criptografia de Phone

Nesse matéria abaixo a PF consegue acessar um iPhone
Anotações em celular de Marcelo Odebrecht apreendido pela PF mostram preocupação com Lava Jato

Marcelo P.

Não são todos os iPhones que têm seus dados totalmente protegidos. Apenas aparelhos novos com iOS 8 ou iOS 9 e, no iOS 8, apenas se tiver uma senha alfanumérica. Em outros casos, há alguns meios para acessar certos dados, seja de modo oficial (com a cooperação da Apple) ou modo extraoficial (com ferramentas de terceiros).

Existe uma ferramenta capaz de burlar senhas numéricas no iOS 8, por exemplo. Como o iOS 9 não estava disponível quando o celular de Marcelo Odebrecht foi apreendido, a polícia conseguiria as informações do aparelho mesmo se ele estivesse protegido com uma senha numérica. Não está claro, porém, se isso foi necessário, porque muitas informações podem ser obtidas sem qualquer ferramenta especial, dependendo de algumas circunstâncias. Se o telefone por acaso tinha iOS 7 ou outra versão mais antiga do iOS, o trabalho das autoridades fica ainda mais fácil.

Ainda que o celular esteja com iOS 9, parte do que está armazenado em um iPhone também pode ser obtida por outros meios, como a conta do iCloud do investigado.

Finalmente, se o iPhone é apreendido ainda desbloqueado, mesmo que tenha uma senha, um agente pode mantê-lo desbloqueado até capturar todos os dados desejados (ou até alterar ou remover a senha, se tal alteração não invalidar o aparelho como prova). Essa é a explicação mais provável para o que foi obtido na Lava Jato - um iPhone sem senha, ou um iPhone que foi apreendido já desbloqueado e que assim foi mantido pelos investigadores.

Em casos em que o iPhone já está desbloqueado, algumas informações também podem ser obtidas com a ajuda da assistente Siri.

Nesse caso do FBI que está sendo bem divulgado, o órgão policial norte-americano errou duas vezes: eles deixaram o iPhone ficar sem energia ou ser desligado, o que apagou a chave de criptografia da memória do celular, e ainda solicitaram uma alteração da senha da conta do iCloud, o que passou a impedir o aparelho de sincronizar (e enviar) dados armazenados para a conta, onde eles poderiam ser lidos.

Em resumo, algumas informações podem ser obtidas até de iPhones protegidos. Outras podem ser obtidas de iPhones apreendidos já desbloqueados. E qualquer informação pode ser capturada de um celular sem senha de bloqueio. O modelo, a versão do iOS, a configuração e o estado do iPhone no momento da apreensão determinam a capacidade da polícia de pegar informações do aparelho.

>>> Vírus ".Trashes"
O vírus .TRASHES está atrapalhando a vida de muita gente. Ele se instalou nos computadores da igreja e nos pen drives dos membros.
Mesmo que seja limpo o computador, ele volta depois do pen drive e o ciclo maldito continua.
O pior que o antivírus não o vê como ofensivo e também não o remove.
Será que vocês podem ajudar?
Obrigado.
Iris Anderson De Sousa Costa

Pode até ser que um vírus de fato utilize uma pasta ou arquivo chamado ".Trashes", mas a presença desta pasta é absolutamente normal se o pen drive foi utilizado em algum computador Mac com OS X (computadores da Apple). É uma pasta que pode ser criada pelo sistema desses computadores.

O fato do antivírus não detectar qualquer problema é mais um indício de que, talvez, a ".Trashes" que você está vendo seja apenas a pasta de sistema criada pelo OS X. Mais especificamente, é a lixeira do pen drive.

Se existe algum outro problema nos computadores e/ou para acessar o pen drive, além da presença dessa pasta, a sugestão é utilizar um antivírus diferente para checar os computadores e o pen drive.

Sistemas Windows mais novos (desde o Vista) não mais executam automaticamente um vírus de pen drive após ele ser conectado ao computador, então é importante ter cuidado caso haja alguma alteração nos arquivos do pen drive. Um truque possível é a alteração de ícone e tipos de arquivo (os arquivos podem ser substituídos por programas) e, o que é mais comum, o uso de atalhos. Se todos os arquivos do pen drive aparecem com "flechas" de atalho no ícone, eles não devem ser abertos até que o pen drive seja limpo.

A propósito, o Windows também cria pastas ocultas. Uma delas se chama System Volume Information. Em certas unidades, pode haver também uma RECYCLER (é pasta da lixeira). Essas pastas ficam ocultas no Windows, então você não pode vê-las sem uma configuração especial. Da mesma forma, a pasta ".Trashes" é invisível no OS X (o "." no início do nome indica um arquivo ou pasta oculta).

Imagem: Roberta Steganha / G1

O pacotão da coluna Segurança Digital vai ficando por aqui. Não se esqueça de deixar sua dúvida na área de comentários, logo abaixo, ou enviar um e-mail para [email protected]. Você também pode seguir a coluna no Twitter em @g1seguranca. Até a próxima!