Artigo/Análise CryptoLocker: Nova super-versão de RANSOMWARE

[Blue Zee]

Pelo vídeo é via falso CHSDSK.

Não sei se o vídeo está em tempo real e se reflete mesmo a infeção/encriptação.
De facto não encripta o disco todo mas sim MBR e MFT.

Está aqui outro artigo recente com dicas para tentar parar a encriptação a quem for apanhado:

1. When the user sees the Blue Screen of Death, all their data is still not corrupted, since Petya hasn’t started to encrypt the Master File Table. So if you see that your computer shows you a BSOD, reboots and starts the Check Disk — immediately shut it down. At this point you still can remove your hard drive, connect it to another computer (but don’t use it as a boot device!) and recover your files.

2. Petya encrypts only the MFT leaving the files themselves untouched. Files still can be recovered by specialists in hard drives recovery. This procedure would be intricate and time-consuming and it will cost you a pretty penny, but basically it is doable. However don’t try to do it at home — a mistake can make your files gone forever.

https://usblog.kaspersky.com/petya-ransomware/6941/

O terceiro parágrafo recomenda o produto Kaspersky.

 

[sensemann]

Outra coisa :

http://www.wired.com/2016/03/ransomware-why-hospitals-are-the-perfect-targets/

 

[Blue Zee]

Isto de dar ideias aos malfeitores também aporta muito rendimento para as empresas de segurança informática e afins.

Nisto como noutras coisas que vemos por aí até sugere a existência de um conluio, uns dólares para ti, uns euros para mim...

 

[cmgam]

Considerando o processo de infecção não parece viável neste momento.
No futuro não sei.

Mas como o interesse é raptar os documentos e exigir um resgate pela sua recuperação, não me parece que os sistemas linux sejam interessantes financeiramente.

Boas

Já agora aproveito o tema para perguntar se correndo o Linux numa máquina virtual dentro do Windows, há hipóteses de infecção?
Cumps

 

[Warlord]

existe ramsonware para todos os SOs (embora seja mais comum em windows, por ser o mais usado)

 

[Blue Zee]

Pelo que leio por aí, em Linux o primeiro ransomware foi detetado/identificado em finais de 2015.
As várias tentativas têm sido consistentemente vencidas/ultrapassadas.

Como diz o @Warlord, havendo mais utilizadores com Windows tornam-se muito mais "interessantes".

 

[civismo]

Sabem se as. Unidades offline podem ser afectadas por ransomware?

 

[Warlord]

so se as ligares

 

[mobile gib]

ainda com o pc infectado.

 

[sensemann]

@mobile gib , lê isto :
https://forums.malwarebytes.org/topic/177751-introducing-malwarebytes-anti-ransomware-beta/

______________________________________________________________________________________

https://blog.malwarebytes.org/threat-analysis/2016/04/petya-ransomware/

 

[civismo]

Os casos de Ransomware sucedem-se uns atas de outros ,
Para alem do que ouço falar aqui e ali, enquanto tecnico constarei dois casos nos ultimos dias :

>Um escritório em que alguem ficou infectado, e contaminou a unidade mapeada em que todos trabalham. Felizmente havia um backup diario numa NAS, e apenas perderam um dia de trabalho

>Hoje foi um consultorio, em que um servidor antigo ficou sem ponta por onde se pegar ...
Ainda para mais, os backups estavam a ser feitos para um segundo disco , ou seja ficou tanto o original como o backup encriptado ... ja para nao dizer que o proprio programa especifico ficou encriptado tambem

Em comum ? Ambos têm o windows XP
Alias, acho que todos os pc´s que ja vi contaminados com estes ramsomwares têm XP .... sera coincidencia

 

[Warlord]

sim é, em comum? drives mapeadas com privilegios excessivos e pessoas a trabalharem diretamente em "servidores" com privilegios excessivos (conta de admin)

 

[xavi87]

Já há bastante tempo que este malware também dá cabo de todas as cópias, restauros de sistema e backups.
Sem hipóteses de recuperação por essa via.

Se alguém escapou por aí, terá sido alguma versão muito antiga?

Os que apanhei eram recentes e não tinham afectado as shadow copies. Sorte talvez.

 

[Blue Zee]

Recentemente dei uma ajudinha a alguém com a mesma invasão e também tivemos acesso às versões anteriores das pastas e ficheiros.
E era uma versão recente mas menos agressiva.

 

[klasss]

Presenciei mais um caso destes.
Têm o nome de LOCKY e veio através do email .
A pessoa em questão mandou scanar um documento e estava a espera de receber no email.
Quando foi ao email viu o email com o nome de scan e abriu.

 

[Blue Zee]

Para conhecimento dos interessados.


Pirate Bay hit by malvertising attack, drops Cerber ransomware

 

[civismo]

Ehpa, Ainda neste fim de. Semana fui a esse site fazer umas consultas...

 

[Warlord]

https://www.fbi.gov/news/stories/20...-the-rise/incidents-of-ransomware-on-the-rise

 

[YoZ]

A titulo de curiosidade, caso se pague o resgate eles desencriptam os ficheiros ou é receber o dinheiro e desaparecer? Já houve casos em que deram a chave?

 

[Blue Zee]

Há de tudo e nenhuma garantia.

Até há casos de quem tenha pago e de seguida tenha recebido exigência de novo pagamento de valor ainda mais elevado.