Cuidado com o vírus do Informe de Rendimento

Caso você receba um e-mail de “Informe de Rendimento”, nesta época do Ano que o pessoal está fazendo o IR, muito cuidado para ver se a fonte é confiável.

Eu recebi um com um link e resolvi explorar o link.
curl -v http://ppj.entregaregistrada.ru/index.php?id=PPJZJlrs8VdN6ZWpLKqaKpeXM7p5xR5zDgL
* Trying 193.189.117.127...
* Connected to ppj.entregaregistrada.ru (193.189.117.127) port 80 (#0)
> GET /index.php?id=PPJZJlrs8VdN6ZWpLKqaKpeXM7p5xR5zDgL HTTP/1.1
> Host: ppj.entregaregistrada.ru
> User-Agent: curl/7.43.0
> Accept: */*
>
< HTTP/1.1 302 Found
< Date: Thu, 25 Feb 2016 22:48:12 GMT
< Server: Apache/2.2.22 (Debian)
< X-Powered-By: PHP/5.4.45-0+deb7u1
< location: https://www.google.com
< Vary: Accept-Encoding
< Content-Length: 1
< Content-Type: text/html
<

Parece que é inócuo, não? Então use um user-agent que simule Windows.

curl -v -A "Mozilla/5.0 (compatible, MSIE 11, Windows NT 6.3; Trident/7.0; rv:11.0) like Gecko" http://ppj.entregaregistrada.ru/index.php?id=PPJZJlrs8VdN6ZWpLKqaKpeXM7p5xR5zDgL
* Trying 193.189.117.127...
* Connected to ppj.entregaregistrada.ru (193.189.117.127) port 80 (#0)
> GET /index.php?id=PPJZJlrs8VdN6ZWpLKqaKpeXM7p5xR5zDgL HTTP/1.1
> Host: ppj.entregaregistrada.ru
> User-Agent: Mozilla/5.0 (compatible, MSIE 11, Windows NT 6.3; Trident/7.0; rv:11.0) like Gecko
> Accept: */*
>
< HTTP/1.1 302 Found
< Date: Thu, 25 Feb 2016 22:50:51 GMT
< Server: Apache/2.2.22 (Debian)
< X-Powered-By: PHP/5.4.45-0+deb7u1
< location: https://www.4shared.com/download/v8Ptjs0gba/rendimento_20160703_eRGIySeSpG.exe?sbsr=4e647ca5a1d90c49bb0122f2b9a68883969&lgfp=3000
< Vary: Accept-Encoding
< Content-Length: 1
< Content-Type: text/html
<

Neste caso ele irá redirecionar você para o download de um executável no 4Shared que contém o payload do vírus ou malware.

Caso você use um Mac ou qualquer outra coisa que não seja Windows ele irá redirecionar você para o Google.

curl -v -A "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_9_3) AppleWebKit/537.75.14 (KHTML, like Gecko) Version/7.0.3 Safari/7046A194A" http://ppj.entregaregistrada.ru/index.php?id=PPJZJlrs8VdN6ZWpLKqaKpeXM7p5xR5zDgL* Trying 193.189.117.127...
* Connected to ppj.entregaregistrada.ru (193.189.117.127) port 80 (#0)
> GET /index.php?id=PPJZJlrs8VdN6ZWpLKqaKpeXM7p5xR5zDgL HTTP/1.1
> Host: ppj.entregaregistrada.ru
> User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_9_3) AppleWebKit/537.75.14 (KHTML, like Gecko) Version/7.0.3 Safari/7046A194A
> Accept: */*
>
< HTTP/1.1 302 Found
< Date: Thu, 25 Feb 2016 22:52:45 GMT
< Server: Apache/2.2.22 (Debian)
< X-Powered-By: PHP/5.4.45-0+deb7u1
< location: https://www.google.com
< Vary: Accept-Encoding
< Content-Length: 1
< Content-Type: text/html
<

Não esqueça de estar com seu anti-virus sempre atualizado.

Sequestro de dados, um novo tipo de vírus

Pague US$ 300,00 ou perca todos seus dados.

Esta semana o Ars  publicou um artigo sobre uma nova forma de vírus em que os dados do computador são criptografados e o dono tem que pagar uma quantia x para descriptografar os dados.

CryptoLocker

O problema não é exatamente novo, mas não deixa de ser assustador. Ainda mais com o crescimento do Bitcoin como moeda de pagamento. No caso do Bitcoin é muito difícil que se possa seguir a máxima do filme Todos os homens do presidente: “Follow the money”, não há modo simples de seguir o dinheiro num sistema de transações completamente distribuído.

O nome do novo vírus é CryptoLocker, que cobra 300 dólares para libertar os arquivos, que ele criptografou, em seu computador . Caso você não tenha backup, não há outra solução senão pagar. Até o presente momento não há forma conhecida de obter a chave de descriptografar os arquivos.

A solução é não pegar o vírus e manter backups atualizados.

Além disso o virus pode se espalhar ou criptografar dados em outros computadores que tenham arquivos compartilhados para leitura e escrita.

Algumas sugestões para você ensinar a seus clientes ou parentes que ligarão apavorados depois de contaminados.

  1. Backup sempre.
  2. Windows atualizado e legalizado. Nunca tenha Windows pirata.
  3. Antivirus atualizado. Mesmo que seja o Microsoft Defender, sempre atualizado.
  4. No caso do Windows 7 e 8, nunca aceite um arquivo que vem por e-mail que peça autorização de administrador para instalar.
  5. Não baixe programas piratas ou crackers. Um mero joguinho pirata para seu filho pode custar muito caro.

Não sei quanto tempo vai demorar para fazerem um destes para Android…

Stuxnet o vírus mais sofisticado da história

Programado para destruir ou danificar o prograa nuclear iraniano, o Virus Stuxnet chamou a atenção da comunidade de segurança por suas características únicas de design.

Hoje foi noticiado por agências internacionais que o vírus, pelo menos em parte, alcançou seu objetivo. Os iranianos acusaram o golpe como se pode ver neste relato.

O stuxnet infecta os computadores principalmente pela porta USB usando vulnerabilidades do AutoRun.inf em computadores rodando Windows. No entanto, parece que algumas variantes do Stuxnet foram feitas para atacar sistemas embarcados com capacidade específica de reprogramar FPGA e CLP. O objetivo final destas versões é conseguir causar dano físico em equipamentos fabricados pela Siemens que são usados no programa nuclear iraniano.

Uma matéria da Wired do mês de setembro especula que pode ter custado milhares de dolares o desenvolvimento do Stuxnet e que há fortes indícios que não foi feito por amadores.

A Siemens soltou um alerta sobre o assunto mas parece que o alvo do Stuxnet foi atingido. Não sabemos no entanto o tamanho do dano causado e se de fato conseguiu brecar o programa nuclear iraniano.

O pesquisador identificado como Ralph mostra em seu site que os iranianos deram a dica involuntáriamente como mostra o screenshot abaixo.

Iran Nuclear Power Plant Stuxnet attack. Big fail
Clica que amplia