Virus Ransomware Criptografando Todo o Disco. E agora?

Esperamos as coisas melhorarem, mas na verdade só estão piorando. Uma nova versão do vírus de criptografia está a solta e dessa vez chega a dar até calafrios. Essa nova versão criptografa todo seu disco, impossibilitando o boot em seu sistema operacional e utilizando uma ferramenta Open Source chamada “DiskCryptor”.

Esse novo ransomware dificulta o sistema operacional para arrancar. Ele substitui o registro mestre de inicialização do disco de inicialização (MBR) por um personalizado.

1

Veja abaixo mensagem recebida:

andy saolis<[email protected]>

Your HDD Encrypted By AES 2048Bit

send 1BTC Per HOST to My Bitcoin Wallet , then we give you Decryption key For Your Server HDD!!

My Bitcoin Wallet Address : 1NLnMNMPbxWeMJVtGuobnzWU3WozYz86Bf

We Only Accept Bitcoin , it’s So easy!

you can use Brokers to exchange your money to BTC ASAP

it’s Fast way!

Here:

https://localbitcoins.com/

if You Don’t Have a Account in Bitcoin , Read it First :

https://bitcoin.org/en/getting-started

bitcoin Market :

https://blockchain.info/

https://www.okcoin.com/

https://www.coinbase.com/

https://bitcoinwallet.com/

Vamos continuar trazendo informações e alertando todos os administradores e usuários para que se protejam dessa ameaça que faz tantas vítimas no dia a dia.Compartilhem ao máximo para ajudar a comunidade e tantos profissionais de TI espalhados no Brasil.

Referência original:

https://www.linkedin.com/pulse/mamba-new-full-disk-encryption-ransomware-family-member-marinho?trk=hp-feed-article-title-like

  • Raphael Silva

    Uma pergunta, seria possível ser infectado através de usuário comum do domínio?
    Mesmo ele sendo proibido de executar os arquivos executáveis (.exe )???

    • Vinicius Mozart

      Essa é uma das aplicações de segurança que devem ser aplicadas. Se o usuário estiver como “usuário do dominio”, já inibe muitas coisas.

    • LaazV

      Alguns sim, por meio de vulnerabilidades no sistema que ainda não foram corrigidos, ou que o desenvolvedor do OS nem sabe que existe ainda (0days), podendo fazer escalação de privilégio de usuario

    • No caso como o LaazV falou se seu sistema não for atualizado ou tiver algum aplicação com falhas de segurança que de para escalar as permissões sim. Ou seja SEMPRE mantenha TUDO atualizado (até mesmo pequenos programas de terceiros), para evitar problemas.

  • Vinicius Mozart

    Ainda não peguei esse caso aqui no Brasil e espero não pegar. Se conseguirmos mais informações sobre essa nova versão, com certeza postarei o quanto antes. Venho alguns anos alertando à todos e espero que essa informação sirva de ajuda para que não enfrentem esse problema. No fim do meu artigo, tem a fonte original e com um link, explicando como foi infectado em um ambiente de lab. Grande abraço Ricardo.

  • Júlio Fais

    se infectou a MBR, talvez consiga recuperar usando um live cd do linux, por exemplo: parted magic, hiren boot ou rescatux

  • Pois é em fileserver ou no servidor de banco de dados, tanto em uma como na outra é uma bomba relógio. No caso não importa o ramsomeware você tem que ter backups offline, um conhecido que não tinha tanta experiência em TI fez um backup dos bancos de dados diretamente no Dropbox instalado no PC, o Ramsomeware criptografou o banco e os backups locais e na nuvem….. Neste caso não houve solução, pois até hoje não saiu a chave de criptografia na internet e o mesmo não tinha backup de 2016 salvo em outro local.