O Centro de Proteção contra Malware da Microsoft (MMPC) tem visto um aumento no número de detecções de ameaças este mês com o ransomware Win32/Crowti , como resultado de nova campanha de malware. Crowti é uma família de ransomware que, quando encontrada, tenta criptografar os arquivos no seu PC, e, em seguida, pede pagamento para desbloqueá-los. Estas ameaças estão sendo distribuídos através de campanhas de spam via emails.
O Crowti impacta tanto empresas como usuários domésticos, no entanto, este tipo de ameaça pode ser especialmente prejudicial em ambientes empresariais. Na maioria dos casos, tais como ransomware Crowti que pode criptografar arquivos e deixá-los inacessíveis. Por isso é importante fazer o backup de arquivos de forma regular. As tecnologias de armazenamento em nuvem, como o OneDrive Corporativo ajuda com recursos, como na versão integrada do histórico que reverte para uma versão anterior não criptografada de seus arquivos.
Também recomendamos que você aumente a conscientização sobre os perigos de abrir email desconhecidos, isso inclui não abrir anexos de email ou links a partir de fontes não confiáveis. Os invasores normalmente tentam imitar transações comerciais regulares em emails como fax, correio de voz ou recibos. Se você receber um email que você não esteja esperando, é melhor ignorá-lo. Tente validar a origem do email em primeiro lugar antes de clicar em um link ou abrir o anexo. Há mais conselhos para ajudar a prevenir uma infecção a partir de ransomware e outras ameaças no final deste blog.
O gráfico abaixo mostra como Crowti ransomware impactou nossos clientes no mês passado.
Figura 1: Dados diários registrados para o ransomware Win32/Crowti
DISTRIBUIÇAO GEOGRÁFICA DO CROWTI
Figura 2: Dados de telemetria para o Win32/Crowti por país de 21 de Setembro s 21 de Outubro de 2014 .
Infecção e instalação
O Crowti está sendo distribuído via campanhas de spam com anexos de email projetado para atrair o receptor a fim de abrí-las. Temos visto os seguintes nomes nos anexos:
- VOICE<random numbers>.scr
- IncomingFax<random numbers>.exe
- fax<random numbers>.scr/exe
- fax-id<random numbers>.exe/scr
- info_<random numbers>.pdf.exe
- document-<random numbers>.scr/exe
- Complaint_IRS_id-<random numbers>.scr/exe
- Invoice<random numbers>.scr/exe
Figura 3: mensagem de spam no email com o Win32/Crowti como um anexo
Nossa telemetria e pesquisa mostra que Win32/Crowti também é distribuído por meio kits de exploits como o Nuclear, RIG e RedKit V2. Estes kits podem oferecer diferentes manipulações, incluindo aqueles que exploram as vulnerabilidades Java e Flash. Alguns dos exploits utilizados para distribuir Crowti são os seguintes:
No passado, nós também vimos Win32/Crowti sendo instalados por outros tipos de malware, tais como Upatre, , Zbote Zemot.
A Figura 4 mostra uma típica cadeia de infecção:
Figura 4: Cadeia de infecção Crowti
Criptografia de arquivo
A tarefa principal do Crowti é criptografar os arquivos no seu PC. Normalmente com nomes de CryptoDefense ou CryptoWall. Abaixo está um exemplo de mensagem indicando os arquivos criptografados.
A Figura 4 mostra uma típica cadeia de infecção:
Figura 4: Cadeia de infecção Crowti
A tarefa principal do Crowti é criptografar os arquivos no seu PC. Normalmente com nomes de CryptoDefense ou CryptoWall. Abaixo está um exemplo de mensagem indicando os arquivos criptografados.
Figura 5: Mensagem de criptografia do Crowti
Os links na mensagem acima vai direcioná-lo a página web de um Tor pedindo para pagamento com Bitcoin.
Figura 6: Crowti - pedido de pagamento
Figura 7: Certificado digital Crowti
Protegendo seu PC
Não há nenhuma garantia de que pagar o resgate lhe dará acesso a seus arquivos ou restaurará o seu PC ao seu estado de pré-infecção. Recomendamos não pagar o resgate.
Há uma série de precauções de segurança que podem ser tomandas para prevenir estes ataques de ambas as empresas e máquinas para o consumidor. Assim sendo, esteja consciente de emails suspeitos e faça o backup dos seus arquivos regularmente. Você também deve manter seus produtos de segurança e outras aplicativos atualizados. Os invasores estão tirando vantagem de sistemas sem patches de segurança contra vulnerabilidades em software que possa comprometer sua máquina. A maioria dos exploits utilizados pelos Crowti são encontradas no plugin para navegador de aplicativos, tais como Java e Flash. Faça um hábito de regularmente atualizar seu software que poderá ajudar a reduzir o risco de infecção.
Além disso, encorajamos você a participar do nosso programa Microsoft Active Protection Service Community (MAPS). Nós usamos os dados que coletamos do programa MAPS para criar melhores detecções, e para responder o mais rápido possível. Este recurso é ativado por padrão para o Microsoft Security Essentials e o Windows Defender para o Windows 8.1 . Você pode verificar se o recurso do programa do MAPS está ativado em seu produto de segurança da Microsoft selecionando o guia Configurações e, em seguida, MAPS:
Figura 8: Mostra o recurso de MAPS habilitado com a opção dentro do produto segurança de anti-malware da Microsoft, que pode tirar o máximo proveito dos serviços de proteção em nuvem da Microsoft
Como sempre, recomenda-se também a execução de um produto de segurança em tempo real como o Microsoft Security Essentials ou outro produto de segurança da sua confiança.Você pode ler mais sobre Win32/Crowti e ransomware, em geral neste website Microsoft Malware Protection Center.
MMPC
Nenhum comentário:
Postar um comentário