Proponha uma correção, faça uma sugestão
Cuidado! Novo ransomware do Windows 10 usa modo de segurança para fazer estragos
As questões de segurança são sempre sensíveis no Windows 10. Por norma este sistema é o mais visado e onde os hackers mais desenvolvem os seus ataques para roubar dados. Se geralmente os antivírus detetam e protegem os utilizadores, outros há que escapam a estes.
Um novo ataque parece estar agora a visar os utilizadores do Windows 10, com uma particularidade única. Faz uso do modo de segurança deste sistema operativo para fazer estragos e cifrar os ficheiros dos utilizadores.
Um novo malware presente no Windows 10
O malware é cada vez mais uma realidade. Infelizmente consegue encontrar formas de contornar as defesas do Windows e inutilizar os ficheiros dos utilizadores. Claro que cada vez mais os antivírus os detetam e aplicam as suas medidas de proteção.
Um dos mais recentes ataques foi revelado agora e traz algumas capacidades únicas. Não se destaca por ser mais destruidor ou por agir de forma diferente, mas tem um comportamento único. O Snatch obriga o PC a arrancar no modo de segurança do Windows 10.
O Snatch usa o modo seguro para atacar este sistema
A escolha deste modo é simples. Ao arrancar em modo de segurança a maioria do software de proteção não é executado. Assim, o PC fica vulnerável porque o antivírus não está presente e a proteger o utilizador e os seus ficheiros.
A mudança para o modo seguro é extremamente rápida e discreta. Muitas vezes os utilizadores nem dão pela mudança e o Snatch esconde-se de forma muito eficiente. Assim, mesmo que seja procurado, os utilizadores não o encontram a ser executado.
Este ransomware age como qualquer outro conhecido
Depois de conseguir quebrar a segurança do Windows 10, este malware age da mesma forma dos restantes. O Snatch cifra os ficheiros dos utilizadores e deixa uma nota. Esta tem a forma de pagamento para acesso à chave necessária para posteriormente os desbloquear.
A descoberta deste ransomware foi feita pela empresa de segurança Sophos, que já há vários anos o analisava. Foi ransomware detetado com este comportamento em meados de outubro, depois de um ataque a uma grande empresa. Desde 2018 que existia, mas sem esta capacidade de adaptação.
Este artigo tem mais de um ano
Fonte: Sophos
Neste artigo: modo, Ransomware, Segurança, Snatch, windows 10
Loading ...
“The attackers initially accessed the company’s internal network by brute-forcing the password to an administrator’s account on a Microsoft Azure server, and were able to log in to the server using Remote Desktop (RDP).”
Acho que se deve informar tendo em conta o contexto deste tipo de ataques. É evidente que pouco há a fazer enquanto os anti-vírus não se tornam capazes de combater este malware. Portanto, cuidado como ? Fazer o quê ?
Por outro lado, este tipo de ataques são bem localizados, tendo em conta ao trabalho que se dão a infectar a primeira máquina na rede. Sendo assim qual será o grau de risco para um utilizador doméstico ? … definir contexto …
E sim, qualquer serviço de remote desktop só deve ser iniciado quando necessário. Seria a melhor forma de ter “cuidado”. Mas isso é verdade não só neste caso.
Usar o “Remote Desktop (RDP)” é um pouco irresponsável nos dias que correm. Qualquer ferramenta de acesso remoto que não seja concebida de origem com autenticação, encriptação forte e tudo o resto a pensar na segurança e privacidade é impensável hoje em dia.
Usar password hoje em dia é tipo: não! Usem chaves públicas/ privadas Ed448; Ed25519 ou mesmo NIST P-521… porque tipo passwords é um não/ não para acessos remotos.
Não sei como funciona o RDP nos servidores Microsoft Azure server, mas suponho e espero que eles aceitem encriptação e autenticação forte e chaves públicas/ privadas se o administrador configurar adequadamente, mas li um artigo que aceitam segundos-factores de autenticação, embora configurar aquilo não pareça a coisa mais simples do mundo…
Não acho que seja irresponsável usar o RDP. Só acho é que se trata de um serviço que deve ser activado manualmente “on request” ou, se feito devidamente, através de scripts de autenticação.
eina so experts!! —–> “Usar o “Remote Desktop (RDP)” é um pouco irresponsável nos dias que correm” = LOL
Mister(ério) este ataque agarra se a AD de Azure E SCCM servers das organizações.
é uma festança de infecções por ai abaixo.
Informação detalhada desta ameaça:
(obrigado Pedro Simões)
#Snatch#
Name Snatch virus
Threat Type Ransomware, Crypto Virus, Files locker
Encrypted Files Extension .snatch, .jimm, .googl, .dglnl, .ohwqg, .wvtr0, .hceem
Ransom Demanding Message Readme_Restore_Files.txt, RESTORE_WVTR0_FILES.txt
Cyber Criminal Contact imboristheblade@protonmail.com, newrecoveryrobot@pm.me
Cyber Criminal Cryptowallet Address 1HsobDYQrg6U1X8uDjQFFFjoSAFVFhHgKU (Bitcoin)
Detection Names (updated variant)
Avast (Win64:Malware-gen), BitDefender (Gen:Variant.Ransom.Snatch.1), ESET-NOD32 (A Variant Of Win64/Filecoder.AM), Kaspersky (Trojan.Win32.DelShad.ea), Full List Of Detections (VirusTotal)
Rogue Process Name wvtr0x64.exe (the process name may vary)
Symptoms Cannot open files stored on your computer, previously functional files now have a different extension (for example, my.docx.locked). A ransom demand message is displayed on your desktop. Cyber criminals demand payment of a ransom (usually in bitcoins) to unlock your files.
Distribution methods Infected email attachments (macros), torrent websites, malicious ads.
Damage
All files are encrypted and cannot be opened without paying a ransom. Additional password-stealing trojans and malware infections can be installed together with a ransomware infection.
A afirmação até não está muito longe da realidade mas, claro, depende de vários factores.
Um deles é a forma como o serviço está configurado. Para mim é “irresponsável” expor directamente a porta 3389. Uma parte da solução passa uma simples configuração de firewall no SO filtrada por ip’s. Basta isto para parar um ataque do tipo brute force. Outra parte passaria por ter um NLA que não aceitasse ligações RDP de clientes de um nível inferior, fazendo passar essas autenticações/ligações através de um gateway RD para não expor a rede toda. Montando estes processos, não acredito que tudo fosse uma “festança de infecções por ai abaixo”. Portanto, em si, usar RDP não é irresponsável deles que seja bem implementado. Por outro lado, o uso de RDP “à la gardere” é irresponsável. Mas há mais.
Outro factor é a forma como o RDP é usado. É muito familiar, fácil de usar, etc. Por isso vamos usá-lo para ligar VM’s Azure, portanto viva o RDS ! No entanto, esta mesma facilidade é dada a os hackers que se aproveitam de serviços expostos e de fácil acesso. Goste-se ou não, é esta a receita. Condimentada com ataques brute-force, TSgrinder e por aí fora. Isto é bem conhecido e existe desde sempre. Basta ver os pacthes contínuos da microsoft . Quantos BlueKeeps este ano ?
Finalmente, tens algumas alternativas mais seguras que RDP mas que precisam de ser configuradas e mantidas de uma forma menos fácil. Através de um acesso seguro por PowerShell (Group Policies, Certificados) e a configuração do serviço Windows Remote Management (WinRM). Mas claro, quantos sysadmins apostam neste nível de segurança ? Será “irresponsabilidade” não o fazerem ?
Já agora, o copy&paste do outro site serve algum propósito ou foi algum engano ?
O sistema de proteção ao ransomware do windows 10 existe e sempre o mantive activo. Só não tenho a certeza é se ele funciona ou está activo nos momentos de acesso em modo de segurança.
Também falta saber qual o vetor de ataque que favorece o aparecimento desse ransomware.
@Redin em safe mode os modulos de com e protection estão OFF. Agradeçemos a alta inteligencia A.I. dos meninos da Microsoft por isso. Ou seja é uma forma mais simples de funcionamento da protecção (aparece o icon alguns DLL´S e COM´s protegidos de resto nadinha esta protegido) nativa do Windows.
Muitos ataques são efetuados desta maneira.
Ainda pensei que esse tipo de funcionalidades de intrusão também não funcionassem enquanto modo de segurança.