Proponha uma correção, faça uma sugestão
Onion – O novo malware que cifra dados e depois pede resgate
Novo ransomware chamado “Onion” foi detectado e utiliza a rede anónima Tor
Tipicamente quando um utilizador suspeita que o seu computador foi infectado é normal dizer que o mesmo tem vírus. Este é o termo mais utilizado pelo utilizador comum e serve para englobar tudo o que “seja mau” no sistema.
Recentemente a Kaspersky Lab detectou um novo Ransomware de encriptação ao qual foi dado o nome de Onion.
O Ransomware de encriptação é um tipo de malware que cifra os dados do utilizador para depois pedir um resgate pela sua recuperação.
Este fenómeno está agora a atacar com uma nova fórmula, de acordo com uma investigação da Kaspersky Lab, segundo a qual um novo ransomware chamado “Onion” foi detectado e utiliza a rede anónima Tor (The Onion Router) para ocultar a sua natureza maliciosa e dificultar, assim, a identificação dos que estão por detrás desta campanha de malware.
O TOR é uma rede de comunicações de baixa latência que, sobreposta na internet, permite actuar sem deixar rasto, mantendo no anonimato o endereço IP e a informação que viaja por ele.
As melhoras técnicas tornaram-no numa ameaça realmente perigosa e numa das encriptações mais sofisticados de hoje em dia, pelo que poderá tornar-se no sucessor do CryptoLocker, CryptoDefence / CryptoWall, ACCDFISA e GpCode. Trata-se de um novo tipo de ransomware de encriptação que utiliza um mecanismo para assustar a vítimas, obrigando-as a pagar pela desencriptação da informação em Bitcoins. Os cibercriminosos dão um prazo de 72 horas para que o pagamento seja feito, ou todos os ficheiros serão perdidos para sempre.
Para transferir dados secretos e informação de pagamento, o Onion comunica com os servidores de comando e controlo localizados em algum lugar anónimo dentro da rede. Anteriormente, os investigadores da Kaspersky Lab já tinham visto este tipo de arquitectura de comunicações, pero só foi utilizada por algumas famílias de malware bancário, como o 64-bit ZeuS, melhorado graças ao Tor.
"Parece que o Tor se tornou num sistema eficaz para comunicações e está a ser utilizado por outro tipo de malware. Ocultar os servidores de comando e controlo na rede Tor complica a busca e detecção dos cibercriminosos, e o uso de um esquema criptográfico pouco ortodoxo faz com que seja impossível a desencriptação, mesmo se o tráfego entre o Trojan e o servidor for detectado. Tudo isto faz do Onion uma ameaça muito perigosa e uma das encriptações tecnologicamente mais avançadas que existem", afirma Fedor Sinitsyn, analista sénior de malware da Kaspersky Lab.
Para que o Onion chegue a um dispositivo, deve primeiro passar através da rede de bots Andrómeda (Backdoor.Win32.Androm). O bot recebe um comando para descarregar e executar outra peça de malware da família Joleee no dispositivo infectado. Este último software malicioso, em seguida, descarrega o malware Onion no dispositivo. Esta é só uma das possíveis formas de distribuição do malware observadas pela Kaspersky Lab.
Distribuição geográfica
A maioria das tentativas de infecção foi registada na CEI (comunidade de estados independentes de ex-repúblicas soviéticas), mas também há casos detectados na Alemanha, Bulgária, Israel, Emiratos Árabes Unidos e Líbia. As amostras de malware mais recentes admitem a interface em idioma russo. Este facto e o número de cadeias no interior do corpo do Trojan sugerem que os criadores do malware falam russo.
Recomendações para se manter seguro
- Fazer cópia de segurança de ficheiros importantes: a cópia de segurança deve ser feita regularmente e, por outro lado, guardada em dispositivos de armazenamento aos quais possamos aceder apenas durante este processo (por exemplo, um dispositivo de armazenamento amovível que se desconecte imediatamente depois de feito o backup). Se não se seguirem estas recomendações, os ficheiros da cópia de segurança poderão ser também eles atacados e encriptados pelo ransomware da mesma forma que as versões originais dos ficheiros.
- Instalar software antivírus: a solução de segurança deve estar sempre activa e todas as suas componentes ligadas. As bases de dados da solução também devem estar actualizadas.
Este artigo tem mais de um ano
Loading ...
Recomendações?
Não usar tor. A ideia de privacidade online é um mito.
Usar o tor não tem nada a ver com isso. Até é aconselhável usar o tor. Apenas um sistema fidedigno pode muitas vezes ser usado para o mal.
O Tor é uma ferramenta indispensável para dissidentes políticos, jornalistas em regimes austeros, etc. É em muitos casos a única forma comunicar com o exterior ou fazer sair ou entrar informação desses países. O Tor é imprescindível para milhares de utilizadores por todo o mundo. Teve um papel fulcral na marcação de manifestações e intercâmbio de informação durante a primavera Árabe. São precisamente os Árabes, por exemplo, que mais usam o Orbot (app Tor para Android).
Se usares o Tor para aceder à tua conta de e-mail ou ao teu Facebook pessoal é claro que a privacidade é um mito.
E que tal leres antes de comentar? Este malware não aproveita qualquer tipo de falha na rede Tor para ser instalado no computador. Utiliza sim é a rede Tor para entrar em contacto com os servidores. Tu utilizares ou não utilizares a rede Tor não vai impedir que sejas infetado.
Conheço muito boa gente que já ficou com o pc infectado (não por este mas outros malwares) e não usam o tor.
E se pensares um pouco e vires como funciona o tor não vais dizer que é inseguro. A privacidade na internet existe mas com certas regras 😉
Impressão minha, ou a noticia foi traduzida de espanhol, existem uns “pero” (mas), no texto.
Parece que sim. Mas se perguntares vão-te dizer que são apenas “fontes” e o texto é da autoria do PPLWARE.
Exacto, está aqui o texto chapado em espanhol
http://noticias.lainformacion.com/economia-negocios-y-finanzas/software/onion-nuevo-ransomware-que-utiliza-tor-para-ocultarse-el-potencial-sucesor-cryptolocker_nMKXhXkGx5jWbSegy4ipL2/
Por acaso o texto não é da autoria do Pplware mas devia ser da nossa responsabilidade rever a tradução de espanhol…passou, aconteceu…mas nada de crítico.
Este blog já há muito perdeu o interesse e qualidade. Só vale a pena vir cá por preguiça! Limitam-se a copiar…
Ninguem te obriga a vires ler este blog, e da-te por contente por estes burros da pplware (burros porque ainda fazem o bom trabalho que fazem para gajos como estes se virem queixar, e ainda continuarem a fazer o bom trabalho que fazem) continuarem a escrever para ignorantes como tu lerem 😀
+1
Tipo… levaste uma resposta à altura 😉 ó “Pois” o que tu queres sei eu 🙂 mas nós não copiamos meu caro, nós desenvolvemos documentação, temos guias nossos, desenvolvemos informação de raiz, análises como não há nenhum outro site em Portugal que o faça, temos o único SO para raspberry em português, temos a melhor informação para Android em Português com guias que só encontras aqui, temos a melhor e mais completa informação para iOS e OS X 😉 temos a melhor informação para Linux que não encontras guias tão completos e com tanta qualidade como os que produzimos… é que nós testamos sabes, não copiamos, mós testamos não somos como TU PREGUIÇOSO 😀
Mas como já te disseram… não estás bem… podes ir 😉
Não pagas nada por vir e não te cobramos nada por ires 😉
Resposta Top. Quem vem aqui dizer mal é porque de facto tem problemas cerebrais, caso contrário deixava de cá vir e pronto.
Serviço como o pplware não há e ponto final.
Obrigado Gilberto 🙂 temos também o melhor naipe de visitantes de lingua portuguesa, isso faz a diferença.
Mas, como em tudo, de vez em quando lá aparece um que está de mal com a vida. 🙂
Assino por baixo 😀
+1
tenho a certeza que se o pplware não se desse ao trabalho de ir buscar e traduzir a notícia ao site espanhol (que decerto poucos portugueses conhecem) irias permanecer na ignorância e sem saber do que se trata este tipo de malware. não critiquem quando não conseguem fazer melhor. o pplware é, e sempre foi um dos melhores blogs portugueses na área de informática. só acho de lamentar o pessoal dar-se ao trabalho de comentar idiotices, quando ninguêm os obriga a digitar na barra de endereços pplware.com 🙂 sem mais…
keytek como recebemos os press da Kaspersky e alguns em espanhol, pode acontecer uma gralha ou outra. É raro acontecer, mas só acontece a quem trabalha 😉
Tal como os sites que receberam esta informação da Kaspersky, nós, parceiros, também o recebemos., via agencia ibérica.
Eu utilizo o CryptoPrevent, para além do Avast free e Malwarebytes premium. Será que mesmo assim não estou protegido?
Em principio sim. A minha questão é, estes virus/malware só entra no sistema quando instalamos software manhoso, ou abrimos ficheiros manhosos dos sites porn… ou estamos a falar de remote exploits?
Actualmente o que usas é bom (embora o free é limitado), mas o Kaspersky é sem dúvida o melhor compromisso de segurança da actualidade.
Os free nunca têm uma acção completa, sugeria que caso possas tenhas um serviço mais completo.
Nunca gostei do Kaspersky… Muito atrofiante para o sistema e jogos.
Pelo outro lado, o ESET Nod32 nunca me falhou.
ESET Nod32 tornou-se pesado, também é bom, mas a firewall deixa muito a desejar. Depois, mesmo ao nível do sistema de actualização.. também já foi melhor… seja como for na minha opinião esses são os dois melhores produtos do mercado.
Aqui já não concordo contigo. Não quer desfazer a Kaspersky que como empresa de faz uma investigação boa mas acho que os anti-virus free se complementados com uma boa firewall free servem bem para te proteger.;-)
É por isso que o Kaspersky é o melhor antivírus do mercado, nenhum outro lhe chega aos calcanhares, uso e recomendo.
É incrível como nem sequer recomendam também o uso do Sandboxie nem do Shadow Defender, com estes dois nem precisamos de ter antivírus, este blog é mesmo uma anedota.
Sim, são sem dúvida os melhores actualmente.
ola boas é assim eu nao sou nehum as de pc ,eu uso o windows defender mais malwarebytes o que acham ja sei que muita gente vai dizer mal mas eu acho que estou bem servido mas gostava de opnioes e ideias
tive este problema e quem resolveu pra mim e o cara que atende neste skype ecfs7 fica a dica ele nao me cobrou nada nao
Ola EDY, por acaso vc tem email ou outra forma de contato com o ecfs7?
Desde ja, grato.
Notícias espanholas?
Cópia?