{"id":6406,"date":"2016-07-15T00:48:13","date_gmt":"2016-07-14T21:48:13","guid":{"rendered":"https:\/\/kasperskydaily.com\/brazil\/?p=6406"},"modified":"2019-11-22T07:32:37","modified_gmt":"2019-11-22T10:32:37","slug":"satana-ransomware","status":"publish","type":"post","link":"https:\/\/www.kaspersky.com.br\/blog\/satana-ransomware\/6406\/","title":{"rendered":"Satana: ransomware dos infernos"},"content":{"rendered":"<p>Neste ano, ataques de <a href=\"https:\/\/kasperskydaily.com\/brazil\/dez-fatos-sobre-o-ransomware\/4614\/\" target=\"_blank\" rel=\"noopener\">ransomware<\/a> foram constantes at\u00e9 agora. Todos os dias, pesquisadores encontram novos tipos, descobrindo diferentes formas e m\u00e9todos usados pelos criminosos para roubar dinheiro diretamente de consumidores e neg\u00f3cios. Logo que especialistas em seguran\u00e7a conseguem fazer algum progresso contra os avan\u00e7os das tropas inimigas, os bandidos inventam novas abordagens e t\u00e9cnicas para continuar usando esse tipo de v\u00edrus.<\/p>\n<p>Recentemente, outra amostra sofisticada de ransomware foi descoberta. O malware intitulado Satana (\u201cSat\u00e3\u201d), sinal de origem russa. O Trojan executa duas tarefas: bloqueia arquivos e corrompe o Master Boot Record (MBR) do Windows, bloqueando o processo de boot do Sistema Operacional.<\/p>\n<p>J\u00e1 discutimos Trojans que bagun\u00e7am o MBR \u2013 o <a href=\"https:\/\/www.kaspersky.com\/blog\/petya-ransomware\/11715\/\" target=\"_blank\" rel=\"noopener nofollow\">Petya ransomware<\/a> \u00e9 um desses. Em certos aspectos, o Satana se comporta de maneira similar, por exemplo, injetando seu pr\u00f3prio c\u00f3digo no MBR. Contudo, embora o Petya criptografe a Master File Table (MFT), o Satana bloqueia o MBR. Para criptografar os arquivos do PC, o Petya dependia de outro Trojan, o <a href=\"https:\/\/www.kaspersky.com\/blog\/mischa-ransomware\/12135\/\" target=\"_blank\" rel=\"noopener nofollow\">Mischa<\/a>. O Satana realiza as duas tarefas por si.<\/p>\n<p>Para quem n\u00e3o\u00a0entende muito dos detalhes de como um computador funciona, explicamos. O MBR \u00e9 parte do disco r\u00edgido. Cont\u00e9m informa\u00e7\u00f5es sobre arquivos do sistema usados por diferentes partes do disco, bem como em qual parti\u00e7\u00e3o o sistema operacional est\u00e1 armazenado.<\/p>\n<blockquote class=\"twitter-tweet\" data-width=\"500\" data-dnt=\"true\">\n<p lang=\"pt\" dir=\"ltr\">Backup ajuda a prevenir ataques de <a href=\"https:\/\/twitter.com\/hashtag\/ransomware?src=hash&amp;ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">#ransomware<\/a>| <a href=\"https:\/\/t.co\/yeja4KJbkJ\" target=\"_blank\" rel=\"noopener nofollow\">https:\/\/t.co\/yeja4KJbkJ<\/a> <a href=\"https:\/\/t.co\/rTSBEhSGc9\" target=\"_blank\" rel=\"noopener nofollow\">pic.twitter.com\/rTSBEhSGc9<\/a><\/p>\n<p>\u2014 Kaspersky Brasil (@Kasperskybrasil) <a href=\"https:\/\/twitter.com\/Kasperskybrasil\/status\/752929338929082368?ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">July 12, 2016<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<p>Se o MBR \u00e9 corrompido \u2013 ou criptografado \u2013 o computador perde acesso a informa\u00e7\u00f5es vitais. Se o computador n\u00e3o conseguir achar o sistema operacional, n\u00e3o inicia. Os criminosos por tr\u00e1s de Satana tiraram vantagem desse mecanismo para melhorar seu cryptolocker por meio da habilidade de bloquear o boot. Os hackers removem o MBR, substituindo-o pelo pedido de resgate, encriptam e movem o MBR para outro lugar.<\/p>\n<p>O ransomware exige por volta de 0,5 bitcoins (cerca de 340 d\u00f3lares) para desencriptar o MBR e receber a senha para os arquivos encriptados. Uma vez pago o resgate, os criadores do Satana dizem que restauraram o sistema operacional e tudo parecer\u00e1 como antes. Bem, pelo menos \u00e9 que dizem.<\/p>\n<p>Uma vez dentro do sistema operacional, o Satana escaneia todos os drives e redes, procurando por arquivos dos tipos .bak, .doc, .jpg, .jpe, .txt, .tex, .dbf, .db, .xls, .cry, .xml, .vsd, .pdf, .csv, .bmp, .tif, .1cd, .tax, .gif, .gbr, .png, .mdb, .mdf, .sdf, .dwg, .dxf, .dgn, .stl, .gho, .v2i, .3ds, .ma, .ppt, .acc, .vpd, .odt, .ods, .rar, .zip, .7z, .cpp, .pas, and .asm e come\u00e7a a encript\u00e1-los. Ele tamb\u00e9m adiciona um endere\u00e7o de e-mail e tr\u00eas <em>underlines<\/em> no come\u00e7o do nome do arquivo (por exemplo, test.jpg ficaria <a href=\"mailto:Sarah_G@ausi.com___test.jpg\">Sarah_G@ausi.com___test.jpg<\/a>).<\/p>\n<p><img decoding=\"async\" class=\"alignnone\" src=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/94\/2016\/07\/06135551\/satan_mbr_en.png\" width=\"720\" height=\"400\"><\/p>\n<p>O endere\u00e7o de e-mail tem por objetivo servir como informa\u00e7\u00e3o de contato para as v\u00edtimas, que devem enviar uma mensagem para o endere\u00e7o para receberem instru\u00e7\u00f5es de pagamento. At\u00e9 agora, pesquisadores identificaram seis endere\u00e7os de e-mail distintos utilizados nesta campanha.<\/p>\n<p>A boa not\u00edcia \u00e9 que \u00e9 poss\u00edvel contornar o bloqueio parcialmente: com certas habilidades, o MBR pode ser corrigido. Especialistas do blog The Windows Club produziram <a href=\"http:\/\/www.thewindowsclub.com\/repair-master-boot-record-mbr-windows\" target=\"_blank\" rel=\"noopener nofollow\">instru\u00e7\u00f5es<\/a> detalhadas sobre como consertar, utilizando a ferramenta de restaura\u00e7\u00e3o de sistema operacional do Windows. Contudo, a ferramenta foi desenvolvida para usu\u00e1rios experientes em linhas de comando e na funcionalidade bootrec.exe; um usu\u00e1rio comum provavelmente n\u00e3o se sentiria a vontade em utilizar esse m\u00e9todo.<\/p>\n<blockquote class=\"twitter-tweet\" data-width=\"500\" data-dnt=\"true\">\n<p lang=\"pt\" dir=\"ltr\">eBook GRATIS: Os perigos dos v\u00edrus sequestradores e como proteger-se | <a href=\"https:\/\/t.co\/yeja4KJbkJ\" target=\"_blank\" rel=\"noopener nofollow\">https:\/\/t.co\/yeja4KJbkJ<\/a> <a href=\"https:\/\/twitter.com\/hashtag\/ransomware?src=hash&amp;ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">#ransomware<\/a> <a href=\"https:\/\/t.co\/4UHt7DwAcQ\" target=\"_blank\" rel=\"noopener nofollow\">pic.twitter.com\/4UHt7DwAcQ<\/a><\/p>\n<p>\u2014 Kaspersky Brasil (@Kasperskybrasil) <a href=\"https:\/\/twitter.com\/Kasperskybrasil\/status\/732210780490321921?ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">May 16, 2016<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<p>A m\u00e1 not\u00edcia \u00e9 que mesmo com o Windows desbloqueado, a outra metade do problema, os arquivos bloqueados, persistem. Nenhuma solu\u00e7\u00e3o est\u00e1 dispon\u00edvel ainda.<\/p>\n<p>No presente momento, o Satana est\u00e1 apenas come\u00e7ando sua carreira de ransomware. Ainda n\u00e3o se espalhou e pesquisadores identificaram falhas no seu c\u00f3digo. Contudo, existem grandes chances que isso evoluir\u00e1 com o tempo, tornando-se uma amea\u00e7a s\u00e9ria sem qualquer sombra de d\u00favida.<\/p>\n<p>Nosso conselho para os usu\u00e1rios \u00e9 exercer vigil\u00e2ncia constante. As recomenda\u00e7\u00f5es simples a seguir ser\u00e3o extremamente \u00fateis para diminuir o risco de infec\u00e7\u00e3o e manter seus dispositivos longe do problema:<\/p>\n<ol>\n<li><strong> Fa\u00e7a backups regularmente<\/strong><br>\nEssa medida \u00e9 como uma ap\u00f3lice de seguro. No caso de um ataque de ransomware, voc\u00ea pode simplesmente reinstalar o sistema operacional e recuperar os arquivos das c\u00f3pias de backup.<\/li>\n<\/ol>\n<ol start=\"2\">\n<li><strong> N\u00e3o visite sites suspeitos e n\u00e3o abra anexos de e-mails suspeitos<\/strong>, mesmo que o link ou e-mail tenha vindo de algum conhecido. Tenha cuidado: pouco se sabe sobre as t\u00e9cnicas de cont\u00e1gio do Satana.<\/li>\n<\/ol>\n<ol start=\"3\">\n<li><strong> Tenha uma boa solu\u00e7\u00e3o de seguran\u00e7a.<\/strong> O <a href=\"http:\/\/brazil.kaspersky.com\/produtos\/produtos-para-usuarios-domesticos\/internet-security\" target=\"_blank\" rel=\"noopener nofollow\">Kaspersky Internet Security<\/a> detecta o Satana como Trojan- Ransom.Win32.Satan e impede que ele criptografe arquivos ou bloqueie o sistema.<\/li>\n<\/ol>\n<ol start=\"4\">\n<li><strong> E claro, n\u00e3o deixe de ficar ligado nas not\u00edcias!<\/strong><\/li>\n<\/ol>\n<p>Nossa miss\u00e3o no blog \u00e9 transmitir informa\u00e7\u00f5es sobre novas amea\u00e7as t\u00e3o r\u00e1pido quanto poss\u00edvel para malwares n\u00e3o o peguem desprevenido.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Neste ano, ataques de ransomware foram constantes at\u00e9 agora. Todos os dias, pesquisadores encontram novos tipos, descobrindo diferentes formas e m\u00e9todos usados pelos criminosos para roubar dinheiro diretamente de consumidores<\/p>\n","protected":false},"author":2194,"featured_media":6407,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[1260,14],"tags":[83,989],"class_list":{"0":"post-6406","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-threats","8":"category-news","9":"tag-ransomware","10":"tag-satana"},"hreflang":[{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/satana-ransomware\/6406\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/satana-ransomware\/7389\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/satana-ransomware\/7413\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/satana-ransomware\/7362\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/satana-ransomware\/8652\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/satana-ransomware\/8602\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/satana-ransomware\/12442\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/satana-ransomware\/2260\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/satana-ransomware\/12558\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/satana-ransomware\/5808\/"},{"hreflang":"pl","url":"https:\/\/plblog.kaspersky.com\/satana-ransomware\/5097\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/satana-ransomware\/8155\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/satana-ransomware\/11998\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/satana-ransomware\/12442\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/satana-ransomware\/12558\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/satana-ransomware\/12558\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.com.br\/blog\/tag\/ransomware\/","name":"ransomware"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/6406","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/users\/2194"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/comments?post=6406"}],"version-history":[{"count":2,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/6406\/revisions"}],"predecessor-version":[{"id":13169,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/6406\/revisions\/13169"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/media\/6407"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/media?parent=6406"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/categories?post=6406"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/tags?post=6406"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}