{"id":6305,"date":"2016-06-01T00:05:29","date_gmt":"2016-05-31T21:05:29","guid":{"rendered":"https:\/\/kasperskydaily.com\/brazil\/?p=6305"},"modified":"2017-09-21T11:49:16","modified_gmt":"2017-09-21T14:49:16","slug":"ransomware-surprising-champions","status":"publish","type":"post","link":"https:\/\/www.kaspersky.com.br\/blog\/ransomware-surprising-champions\/6305\/","title":{"rendered":"Ransomware: Como at\u00e9 um malware ing\u00eanuo pode ter sucesso"},"content":{"rendered":"<p>17:50, sexta-feira, final de outono. O escrit\u00f3rio j\u00e1 est\u00e1 com um ar mais descontra\u00eddo: logo, as pessoas ir\u00e3o para a casa ou para locais mais divertidos, contudo ningu\u00e9m espera por problemas. No entanto, problemas n\u00e3o s\u00e3o conhecidos por respeitar finais de semana. Em quest\u00e3o de instantes, assinantes ligam dizendo que n\u00e3o conseguem abrir arquivos que est\u00e3o com nomes estranhos. E o que \u00e9 esse pop-up falando sobre um resgate?<\/p>\n<p>Nesse momento voc\u00ea n\u00e3o quer ser o administrador, cliente ou o dono da empresa, especialmente de uma pequena ou m\u00e9dia, porque em uma situa\u00e7\u00e3o como essa algu\u00e9m fez algo que n\u00e3o devia e deixou um ransomware entrar.<\/p>\n<p><strong>\u00a0<\/strong>N\u00e3o conseguimos passar nem um m\u00eas sem falar de <a href=\"https:\/\/kasperskydaily.com\/brazil\/mischa-a-friend-for-petya-and-yet-more-ransomware-for-the-rest-of-the-world\/6295\/\" target=\"_blank\" rel=\"noopener\">ransomware<\/a>. O que n\u00e3o \u00e9 surpresa, j\u00e1 que novos continuam aparecendo aos montes. Empresas de todos os tipos s\u00e3o alvo -as MPEs correm ainda mais perigo, j\u00e1 que possuem recursos financeiros atrativos aos criminosos, mas tendem a economizar em seguran\u00e7a e pessoal de TI por diversas raz\u00f5es.<\/p>\n<p><img decoding=\"async\" class=\"aligncenter size-full wp-image-6306\" src=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/94\/2016\/06\/06140306\/main-4.jpg\" alt=\"main-4\" width=\"1000\" height=\"667\"><\/p>\n<p>Os terr\u00edveis Cryptolocker e Teslacrypt podem at\u00e9 n\u00e3o estar mais sob os holofotes, mas eles continuam t\u00e3o perigosos como antes. Existem tamb\u00e9m alguns novatos como o Locky e o <a href=\"https:\/\/kasperskydaily.com\/brazil\/mischa-a-friend-for-petya-and-yet-more-ransomware-for-the-rest-of-the-world\/6295\/\" target=\"_blank\" rel=\"noopener\">Petya<\/a>.<\/p>\n<p><strong>Deus da mentira<br>\n<\/strong>O \u201c<a href=\"https:\/\/kasperskydaily.com\/brazil\/locky-ransomware\/6121\/\" target=\"_blank\" rel=\"noopener\">Locky<\/a>\u201d (Trojan-Ranom.Win32Locky) \u00e9 um ransomware problem\u00e1tico que causa danos consider\u00e1veis no mundo todo. Ele n\u00e3o se diferencia muito de outras fam\u00edlias no que diz respeito a configura\u00e7\u00e3o interna e princ\u00edpios operacionais, mas diferencia-se pelo uso de um algoritmo de criptografia mais forte e por maior difus\u00e3o: os produtos da Kaspersky Lab bloquearam seus ataques em mais de 100 pa\u00edses. Nenhum outro ransomware se infiltrou em tantos pa\u00edses ao mesmo tempo \u2013 nesse caso, ataques bem-sucedidos.<\/p>\n<p>Seu sucesso \u00e9 no m\u00ednimo algo estranho. Os principais vetores de ataque do Locky n\u00e3o s\u00e3o nada novos. Infec\u00e7\u00f5es bem-sucedidas na maioria dos casos s\u00e3o resultado de erros das v\u00edtimas e viola\u00e7\u00f5es de regras b\u00e1sicas de ciberseguran\u00e7a.<\/p>\n<blockquote class=\"twitter-tweet\" data-width=\"500\" data-dnt=\"true\">\n<p lang=\"pt\" dir=\"ltr\">Mischa: o novo c\u00famplice do <a href=\"https:\/\/twitter.com\/hashtag\/ransomware?src=hash&amp;ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">#ransomware<\/a> Petya | <a href=\"https:\/\/t.co\/01wA5FDagr\" target=\"_blank\" rel=\"noopener nofollow\">https:\/\/t.co\/01wA5FDagr<\/a> <a href=\"https:\/\/t.co\/1Ig6kyyUcN\" target=\"_blank\" rel=\"noopener nofollow\">pic.twitter.com\/1Ig6kyyUcN<\/a><\/p>\n<p>\u2014 Kaspersky Brasil (@Kasperskybrasil) <a href=\"https:\/\/twitter.com\/Kasperskybrasil\/status\/735802945132957697?ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">May 26, 2016<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<p><strong>\u2026Se \u00e9 assim, n\u00e3o devia, mas\u2026<br>\n<\/strong>O Locky se espalha por spam. Talvez, seja essa a raz\u00e3o de seu sucesso: ele tem se multiplicado sem parar. Os ataques s\u00e3o divididos em duas fases: um e-mail malicioso com um instalador e o Trojan em si.<\/p>\n<p>Nos primeiros est\u00e1gios (por exemplo, em fevereiro desse ano), o instalador do Trojan foi carregado por um arquivo .<em>doc<\/em> com uma macro que o baixava. E a partir daqui que a situa\u00e7\u00e3o fica rid\u00edcula. A Microsoft desativou a execu\u00e7\u00e3o autom\u00e1tica de macros no Office por raz\u00f5es de seguran\u00e7a. Contudo, usu\u00e1rios habilitam a execu\u00e7\u00e3o autom\u00e1tica de macros manualmente, o que inclui arquivos de fontes desconhecidas.<\/p>\n<p>Agora, hackers mudaram de t\u00e1tica. No lugar de enviar e-mails em massa contendo os arquivos .<em>doc<\/em>, os criminosos optam por arquivos .<em>zip<\/em> e scripts .<em>js<\/em>.<\/p>\n<p><strong>N\u00e3o t\u00e3o ridiculo assim<br>\n<\/strong>Para usu\u00e1rios experientes, um arquivo .<em>doc<\/em> de fonte desconhecida que \u201cdemanda\u201d uma macro para ser aberto, \u00e9 sinal de alerta imediato. Um arquivo javascript com o nome de \u201cme abra\u201d tamb\u00e9m n\u00e3o cheira bem. Contudo, repito, \u00e9 preciso que colaboradores compreendam os perigos, conhe\u00e7am quais arquivos possuem a extens\u00e3o .<em>js<\/em> e o porqu\u00ea de macros serem perigosas.<\/p>\n<p>Imagine agora uma empresa pequena na qual funcion\u00e1rios (contadores, por exemplo) possuem pouco interesse em computadores, menos ainda por ciberseguran\u00e7a. Podem at\u00e9 ter ouvido alguma coisa ou outra sobre como macros podem sem perigosas. Ou simplesmente nem sabem o que s\u00e3o. De qualquer forma, arquivos .<em>js<\/em> s\u00f3 s\u00e3o familiares para usu\u00e1rios avan\u00e7ados. Para o resto, s\u00f3 \u00e9 preciso um e-mail bem pensado para cair nas garras dos criminosos.<\/p>\n<p>Provavelmente, essa foi a ideia do autor do Locky: usu\u00e1rios experientes reconheceriam o e-mail \u00e0 primeira vista, independente da extens\u00e3o do arquivo. Contudo, ao ter usu\u00e1rios menos experientes como alvo, n\u00e3o faz muita diferen\u00e7a o formato.<\/p>\n<blockquote class=\"twitter-tweet\" data-width=\"500\" data-dnt=\"true\">\n<p lang=\"pt\" dir=\"ltr\">N\u00e3o seja ref\u00e9m do <a href=\"https:\/\/twitter.com\/hashtag\/ransomware?src=hash&amp;ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">#ransomware<\/a> | <a href=\"https:\/\/t.co\/yeja4KJbkJ\" target=\"_blank\" rel=\"noopener nofollow\">https:\/\/t.co\/yeja4KJbkJ<\/a> <a href=\"https:\/\/t.co\/88nAnym1S9\" target=\"_blank\" rel=\"noopener nofollow\">pic.twitter.com\/88nAnym1S9<\/a><\/p>\n<p>\u2014 Kaspersky Brasil (@Kasperskybrasil) <a href=\"https:\/\/twitter.com\/Kasperskybrasil\/status\/734806559595827201?ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">May 23, 2016<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<p><strong>Tudo menos santo<br>\n<\/strong>Outro verme tem\u00edvel causou um verdadeiro pandem\u00f4nio na Alemanha no come\u00e7o desse ano. Conhecido como <a href=\"https:\/\/kasperskydaily.com\/brazil\/mischa-a-friend-for-petya-and-yet-more-ransomware-for-the-rest-of-the-world\/6295\/\" target=\"_blank\" rel=\"noopener\">Petya<\/a>, ele codifica arquivos sem qualquer especificidade, o foco \u00e9 no comprometimento da m\u00e1quina em si, o que resultou em uma receita de 400 d\u00f3lares em Bitcoins.<\/p>\n<p>O Petya tamb\u00e9m se espalha por spams e tem como v\u00edtimas organiza\u00e7\u00f5es de recursos humanos por toda a Alemanha. Os e-mails continham links para arquivos Dropbox que se clicados baixavam e instalavam o Petya.<\/p>\n<p>De certa forma, o Petya (apelido para o nome russo Pyotr, contraparte do ocidental Peter) \u00e9 mais avan\u00e7ado em termos t\u00e9cnicos que o Locky (e seus autores sem d\u00favida s\u00e3o mais criativos).<\/p>\n<p>Novamente, o estrago s\u00f3 ser\u00e1 feito, se a v\u00edtima colaborar. E muito. J\u00e1 ouviu falar de um curr\u00edculo em formato .<em>exe<\/em> que precisa de privil\u00e9gios de administrador para ser executado?<\/p>\n<p>O Petya s\u00f3 seria instalado se o usu\u00e1rio clicar no \u201csim\u201d na tela de controle do usu\u00e1rio.<\/p>\n<p>O que \u00e9 de fato poss\u00edvel se o usu\u00e1rio for pouco experiente\u2026 ou cansado demais para prestar aten\u00e7\u00e3o nesse tipo de aviso.<\/p>\n<p>Usu\u00e1rios de empresas RH tem de analisar centenas de CVs entediantes diariamente, pensando nesse cen\u00e1rio, \u00e9 bem poss\u00edvel que algu\u00e9m cometa um deslize \u00e0s 17:50 de uma sexta-feira\u2026.<\/p>\n<p>Ainda assim, o Petya n\u00e3o \u00e9 t\u00e3o terr\u00edvel quanto descrito: seu algoritmo de criptografia mostrou-se vulner\u00e1vel a desencripta\u00e7\u00e3o (o que n\u00e3o ocorreu com o Locky). <a href=\"https:\/\/business.kaspersky.com\/ransomfails\/5470\/\" target=\"_blank\" rel=\"noopener nofollow\">Falamos disso recentemente<\/a>.<\/p>\n<blockquote class=\"twitter-tweet\" data-width=\"500\" data-dnt=\"true\">\n<p lang=\"pt\" dir=\"ltr\">Relat\u00f3rio gratuito: Sua empresa pode ser v\u00edtima de <a href=\"https:\/\/twitter.com\/hashtag\/ciberespionagem?src=hash&amp;ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">#ciberespionagem<\/a>? | <a href=\"https:\/\/t.co\/D4Q8aFMvVQ\" target=\"_blank\" rel=\"noopener nofollow\">https:\/\/t.co\/D4Q8aFMvVQ<\/a> <a href=\"https:\/\/t.co\/DVPnYZ0QQ3\" target=\"_blank\" rel=\"noopener nofollow\">pic.twitter.com\/DVPnYZ0QQ3<\/a><\/p>\n<p>\u2014 Kaspersky Brasil (@Kasperskybrasil) <a href=\"https:\/\/twitter.com\/Kasperskybrasil\/status\/734763427869118464?ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">May 23, 2016<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<p><strong>Se n\u00e3o pode venc\u00ea-los, previna-se<br>\n<\/strong>Como em muitas outras amea\u00e7as, prevenir a entrada de ransomwares \u00e9 a melhor forma de se proteger para neg\u00f3cios de todos os tipos. Os danos provocados por ransomwares s\u00e3o incrivelmente dif\u00edceis de se remediar, a n\u00e3o ser que voc\u00ea queira pagar o resgate.<\/p>\n<p>\u00a0<\/p>\n<blockquote class=\"twitter-pullquote\"><p>At\u00e9 ransomwares med\u00edocres podem ter sucesso. Mas n\u00e3o precisa ser assim. #locky<\/p><a href=\"https:\/\/twitter.com\/share?url=https%3A%2F%2Fkas.pr%2F3tFz&amp;text=%3Cem%3EAt%C3%A9+ransomwares+med%C3%ADocres+podem+ter+sucesso.+Mas+n%C3%A3o+precisa+ser+assim.+%3C%2Fem%3E%3Cem%3E%23locky%3C%2Fem%3E\" class=\"btn btn-twhite\" data-lang=\"en\" data-count=\"0\" target=\"_blank\" rel=\"noopener nofollow\">Tweet<\/a><\/blockquote>\n<p>Existem diversas medidas preventivas que podem ser tomadas contra ransomwares.<\/p>\n<p>Antes de mais nada, informe seus funcion\u00e1rios sobre engenharia social, tipos de amea\u00e7as, perigos associados a sites infectados, entre outros. \u00c9 necess\u00e1rio que saibam que .<em>exe<\/em> e .<em>js<\/em> n\u00e3o s\u00e3o extens\u00f5es para documentos e mesmo arquivos .<em>doc<\/em> vindos fontes \u201cdesconhecidas\u201d, n\u00e3o devem ser executados sem uma verifica\u00e7\u00e3o pr\u00e9via.<\/p>\n<p>Segundo, \u00e9 interessante limitar a execu\u00e7\u00e3o de arquivos em certos pontos de acesso. A n\u00e3o ser que o funcion\u00e1rio saiba exatamente o que esteja fazendo, privil\u00e9gios de administrador n\u00e3o devem ser uma regra.<\/p>\n<p>E claro, \u00e9 indispens\u00e1vel a presen\u00e7a de uma solu\u00e7\u00e3o de seguran\u00e7a capaz de impedir ataques de ransomware antes da encripta\u00e7\u00e3o, o que inclui anti-spam, esta\u00e7\u00f5es de trabalhos e servidores capazes de se defender proativamente contra amea\u00e7as conhecidas e desconhecidas. D\u00ea uma olhada nas ofertas da Kaspersky Lab para <a href=\"http:\/\/brazil.kaspersky.com\/business-security\/small-office-security\" target=\"_blank\" rel=\"noopener nofollow\">pequenas<\/a> e <a href=\"http:\/\/brazil.kaspersky.com\/business-security\/small-to-medium-business\" target=\"_blank\" rel=\"noopener nofollow\">pequenas \u00e0 m\u00e9dias<\/a> empresas, bem como para organiza\u00e7\u00f5es de <a href=\"http:\/\/brazil.kaspersky.com\/enterprise-security\" target=\"_blank\" rel=\"noopener nofollow\">grande porte<\/a>.<\/p>\n<p>Mais detalhes sobre o Locky <a href=\"https:\/\/securelist.com\/blog\/research\/74398\/locky-the-encryptor-taking-the-world-by-storm\/\" target=\"_blank\" rel=\"noopener\">aqui<\/a>.<\/p>\n<p>Uma an\u00e1lise detalhada sobre o Petya nesse <a href=\"https:\/\/securelist.com\/blog\/research\/74609\/petya-the-two-in-one-trojan\/\" target=\"_blank\" rel=\"noopener\">link<\/a>.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>17:50, sexta-feira, final de outono. O escrit\u00f3rio j\u00e1 est\u00e1 com um ar mais descontra\u00eddo: logo, as pessoas ir\u00e3o para a casa ou para locais mais divertidos, contudo ningu\u00e9m espera por<\/p>\n","protected":false},"author":540,"featured_media":6306,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[1260,14],"tags":[840,918,932,961,83,962],"class_list":{"0":"post-6305","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-threats","8":"category-news","9":"tag-educacao","10":"tag-locky","11":"tag-petya","12":"tag-pme","13":"tag-ransomware","14":"tag-vsb"},"hreflang":[{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/ransomware-surprising-champions\/6305\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/ransomware-surprising-champions\/3757\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/ransomware-surprising-champions\/5541\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/ransomware-surprising-champions\/5541\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/ransomware-surprising-champions\/5541\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.com.br\/blog\/tag\/educacao\/","name":"educa\u00e7\u00e3o"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/6305","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/users\/540"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/comments?post=6305"}],"version-history":[{"count":1,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/6305\/revisions"}],"predecessor-version":[{"id":7628,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/6305\/revisions\/7628"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/media\/6306"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/media?parent=6305"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/categories?post=6305"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/tags?post=6305"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}