Notícias

Onion – O novo malware que cifra dados e depois pede resgate

31 Comentários

Novo ransomware chamado “Onion” foi detectado e utiliza a rede anónima Tor

Tipicamente quando um utilizador suspeita que o seu computador foi infectado é normal dizer que o mesmo tem vírus. Este é o termo mais utilizado pelo utilizador comum e serve para englobar tudo o que “seja mau” no sistema.

Recentemente a Kaspersky Lab detectou um novo Ransomware de encriptação ao qual foi dado o nome de Onion.

onion_01

O Ransomware de encriptação é um tipo de malware que cifra os dados do utilizador para depois pedir um resgate pela sua recuperação.

Este fenómeno está agora a atacar com uma nova fórmula, de acordo com uma investigação da Kaspersky Lab, segundo a qual um novo ransomware chamado “Onion” foi detectado e utiliza a rede anónima Tor (The Onion Router) para ocultar a sua natureza maliciosa e dificultar, assim, a identificação dos que estão por detrás desta campanha de malware.

O TOR é uma rede de comunicações de baixa latência que, sobreposta na internet, permite actuar sem deixar rasto, mantendo no anonimato o endereço IP e a informação que viaja por ele.

tor_007

As melhoras técnicas tornaram-no numa ameaça realmente perigosa e numa das encriptações mais sofisticados de hoje em dia, pelo que poderá tornar-se no sucessor do CryptoLocker, CryptoDefence / CryptoWall, ACCDFISA e GpCode. Trata-se de um novo tipo de ransomware de encriptação que utiliza um mecanismo para assustar a vítimas, obrigando-as a pagar pela desencriptação da informação em Bitcoins. Os cibercriminosos dão um prazo de 72 horas para que o pagamento seja feito, ou todos os ficheiros serão perdidos para sempre.

Para transferir dados secretos e informação de pagamento, o Onion comunica com os servidores de comando e controlo localizados em algum lugar anónimo dentro da rede. Anteriormente, os investigadores da Kaspersky Lab já tinham visto este tipo de arquitectura de comunicações, pero só foi utilizada por algumas famílias de malware bancário, como o 64-bit ZeuS, melhorado graças ao Tor.

“Parece que o Tor se tornou num sistema eficaz para comunicações e está a ser utilizado por outro tipo de malware. Ocultar os servidores de comando e controlo na rede Tor complica a busca e detecção dos cibercriminosos, e o uso de um esquema criptográfico pouco ortodoxo faz com que seja impossível a desencriptação, mesmo se o tráfego entre o Trojan e o servidor for detectado. Tudo isto faz do Onion uma ameaça muito perigosa e uma das encriptações tecnologicamente mais avançadas que existem”, afirma Fedor Sinitsyn, analista sénior de malware da Kaspersky Lab.

Para que o Onion chegue a um dispositivo, deve primeiro passar através da rede de bots Andrómeda (Backdoor.Win32.Androm). O bot recebe um comando para descarregar e executar outra peça de malware da família Joleee no dispositivo infectado. Este último software malicioso, em seguida, descarrega o malware Onion no dispositivo. Esta é só uma das possíveis formas de distribuição do malware observadas pela Kaspersky Lab.

Distribuição geográfica

A maioria das tentativas de infecção foi registada na CEI (comunidade de estados independentes de ex-repúblicas soviéticas), mas também há casos detectados na Alemanha, Bulgária, Israel, Emiratos Árabes Unidos e Líbia. As amostras de malware mais recentes admitem a interface em idioma russo. Este facto e o número de cadeias no interior do corpo do Trojan sugerem que os criadores do malware falam russo.

Recomendações para se manter seguro

 

  • Fazer cópia de segurança de ficheiros importantes: a cópia de segurança deve ser feita regularmente e, por outro lado, guardada em dispositivos de armazenamento aos quais possamos aceder apenas durante este processo (por exemplo, um dispositivo de armazenamento amovível que se desconecte imediatamente depois de feito o backup). Se não se seguirem estas recomendações, os ficheiros da cópia de segurança poderão ser também eles atacados e encriptados pelo ransomware da mesma forma que as versões originais dos ficheiros.
  • Instalar software antivírus: a solução de segurança deve estar sempre activa e todas as suas componentes ligadas. As bases de dados da solução também devem estar actualizadas.

PUB
Autor: Pedro Pinto
Partilhar:
Tags:
Encriptação malware Ransomware

PUB.

Questão Semanal

Deveria haver uma marca obrigatória em todas as imagens geradas por IA?

Ver Resultados

Loading ... Loading …
Arquivo de Questões

PUB.

Velocímetro Pplware

Teste a velocidade da sua Internet
Instagram: Bug de segurança com 2 anos ainda por resolver?
Artigo anterior

Instagram: Bug de segurança com 2 anos ainda por resolver?
Apple apresentou os seus novos MacBook Pro
Próximo artigo

Apple apresentou os seus novos MacBook Pro
PUB

Comentários

31

Deixe um comentário

O seu endereço de email não será publicado. Campos obrigatórios marcados com *

  1. Avatar de Mota
    Mota

    Recomendações?

    Não usar tor. A ideia de privacidade online é um mito.

    Responder
    1. Avatar de Ricardo Gonçalves
      Ricardo Gonçalves

      Usar o tor não tem nada a ver com isso. Até é aconselhável usar o tor. Apenas um sistema fidedigno pode muitas vezes ser usado para o mal.

      Responder
    2. Avatar de Sérgio V.V.
      Sérgio V.V.

      O Tor é uma ferramenta indispensável para dissidentes políticos, jornalistas em regimes austeros, etc. É em muitos casos a única forma comunicar com o exterior ou fazer sair ou entrar informação desses países. O Tor é imprescindível para milhares de utilizadores por todo o mundo. Teve um papel fulcral na marcação de manifestações e intercâmbio de informação durante a primavera Árabe. São precisamente os Árabes, por exemplo, que mais usam o Orbot (app Tor para Android).

      Se usares o Tor para aceder à tua conta de e-mail ou ao teu Facebook pessoal é claro que a privacidade é um mito.

      Responder
    3. Avatar de Nuno Vieira
      Nuno Vieira

      E que tal leres antes de comentar? Este malware não aproveita qualquer tipo de falha na rede Tor para ser instalado no computador. Utiliza sim é a rede Tor para entrar em contacto com os servidores. Tu utilizares ou não utilizares a rede Tor não vai impedir que sejas infetado.

      Responder
    4. Avatar de Deus
      Deus

      Conheço muito boa gente que já ficou com o pc infectado (não por este mas outros malwares) e não usam o tor.
      E se pensares um pouco e vires como funciona o tor não vais dizer que é inseguro. A privacidade na internet existe mas com certas regras 😉

      Responder
  2. Avatar de keytek
    keytek

    Impressão minha, ou a noticia foi traduzida de espanhol, existem uns “pero” (mas), no texto.

    Responder
    1. Avatar de David Melo
      David Melo

      Parece que sim. Mas se perguntares vão-te dizer que são apenas “fontes” e o texto é da autoria do PPLWARE.

      Responder
      1. Avatar de mb
        mb

        Exacto, está aqui o texto chapado em espanhol

        http://noticias.lainformacion.com/economia-negocios-y-finanzas/software/onion-nuevo-ransomware-que-utiliza-tor-para-ocultarse-el-potencial-sucesor-cryptolocker_nMKXhXkGx5jWbSegy4ipL2/

        Responder
      2. Avatar de Pedro Pinto
        Pedro Pinto

        Por acaso o texto não é da autoria do Pplware mas devia ser da nossa responsabilidade rever a tradução de espanhol…passou, aconteceu…mas nada de crítico.

        Responder
    2. Avatar de Pois
      Pois

      Este blog já há muito perdeu o interesse e qualidade. Só vale a pena vir cá por preguiça! Limitam-se a copiar…

      Responder
      1. Avatar de Tipo, Cenas :)
        Tipo, Cenas 🙂

        Ninguem te obriga a vires ler este blog, e da-te por contente por estes burros da pplware (burros porque ainda fazem o bom trabalho que fazem para gajos como estes se virem queixar, e ainda continuarem a fazer o bom trabalho que fazem) continuarem a escrever para ignorantes como tu lerem 😀

        Responder
        1. Avatar de Theboice
          Theboice

          +1

          Responder
      2. Avatar de Vítor M.
        Vítor M.

        Tipo… levaste uma resposta à altura 😉 ó “Pois” o que tu queres sei eu 🙂 mas nós não copiamos meu caro, nós desenvolvemos documentação, temos guias nossos, desenvolvemos informação de raiz, análises como não há nenhum outro site em Portugal que o faça, temos o único SO para raspberry em português, temos a melhor informação para Android em Português com guias que só encontras aqui, temos a melhor e mais completa informação para iOS e OS X 😉 temos a melhor informação para Linux que não encontras guias tão completos e com tanta qualidade como os que produzimos… é que nós testamos sabes, não copiamos, mós testamos não somos como TU PREGUIÇOSO 😀

        Mas como já te disseram… não estás bem… podes ir 😉

        Não pagas nada por vir e não te cobramos nada por ires 😉

        Responder
        1. Avatar de Gilberto Pereira
          Gilberto Pereira

          Resposta Top. Quem vem aqui dizer mal é porque de facto tem problemas cerebrais, caso contrário deixava de cá vir e pronto.

          Serviço como o pplware não há e ponto final.

          Responder
          1. Avatar de Vítor M.
            Vítor M.

            Obrigado Gilberto 🙂 temos também o melhor naipe de visitantes de lingua portuguesa, isso faz a diferença.

            Mas, como em tudo, de vez em quando lá aparece um que está de mal com a vida. 🙂

        2. Avatar de Deus
          Deus

          Assino por baixo 😀

          Responder
          1. Avatar de pmf
            pmf

            +1

      3. Avatar de joão varelas
        joão varelas

        tenho a certeza que se o pplware não se desse ao trabalho de ir buscar e traduzir a notícia ao site espanhol (que decerto poucos portugueses conhecem) irias permanecer na ignorância e sem saber do que se trata este tipo de malware. não critiquem quando não conseguem fazer melhor. o pplware é, e sempre foi um dos melhores blogs portugueses na área de informática. só acho de lamentar o pessoal dar-se ao trabalho de comentar idiotices, quando ninguêm os obriga a digitar na barra de endereços pplware.com 🙂 sem mais…

        Responder
    3. Avatar de Vítor M.
      Vítor M.

      keytek como recebemos os press da Kaspersky e alguns em espanhol, pode acontecer uma gralha ou outra. É raro acontecer, mas só acontece a quem trabalha 😉

      Tal como os sites que receberam esta informação da Kaspersky, nós, parceiros, também o recebemos., via agencia ibérica.

      Responder
  3. Avatar de Luis Braz
    Luis Braz

    Eu utilizo o CryptoPrevent, para além do Avast free e Malwarebytes premium. Será que mesmo assim não estou protegido?

    Responder
    1. Avatar de Ricardo P
      Ricardo P

      Em principio sim. A minha questão é, estes virus/malware só entra no sistema quando instalamos software manhoso, ou abrimos ficheiros manhosos dos sites porn… ou estamos a falar de remote exploits?

      Responder
    2. Avatar de Vítor M.
      Vítor M.

      Actualmente o que usas é bom (embora o free é limitado), mas o Kaspersky é sem dúvida o melhor compromisso de segurança da actualidade.

      Os free nunca têm uma acção completa, sugeria que caso possas tenhas um serviço mais completo.

      Responder
      1. Avatar de João Matos
        João Matos

        Nunca gostei do Kaspersky… Muito atrofiante para o sistema e jogos.

        Pelo outro lado, o ESET Nod32 nunca me falhou.

        Responder
        1. Avatar de Vítor M.
          Vítor M.

          ESET Nod32 tornou-se pesado, também é bom, mas a firewall deixa muito a desejar. Depois, mesmo ao nível do sistema de actualização.. também já foi melhor… seja como for na minha opinião esses são os dois melhores produtos do mercado.

          Responder
      2. Avatar de Deus
        Deus

        Aqui já não concordo contigo. Não quer desfazer a Kaspersky que como empresa de faz uma investigação boa mas acho que os anti-virus free se complementados com uma boa firewall free servem bem para te proteger.;-)

        Responder
  4. Avatar de panhonhas
    panhonhas

    É por isso que o Kaspersky é o melhor antivírus do mercado, nenhum outro lhe chega aos calcanhares, uso e recomendo.
    É incrível como nem sequer recomendam também o uso do Sandboxie nem do Shadow Defender, com estes dois nem precisamos de ter antivírus, este blog é mesmo uma anedota.

    Responder
    1. Avatar de Vítor M.
      Vítor M.

      Sim, são sem dúvida os melhores actualmente.

      Responder
  5. Avatar de JOAO
    JOAO

    ola boas é assim eu nao sou nehum as de pc ,eu uso o windows defender mais malwarebytes o que acham ja sei que muita gente vai dizer mal mas eu acho que estou bem servido mas gostava de opnioes e ideias

    Responder
  6. Avatar de EDY
    EDY

    tive este problema e quem resolveu pra mim e o cara que atende neste skype ecfs7 fica a dica ele nao me cobrou nada nao

    Responder
    1. Avatar de Natael
      Natael

      Ola EDY, por acaso vc tem email ou outra forma de contato com o ecfs7?

      Desde ja, grato.

      Responder
  7. Avatar de as
    as

    Notícias espanholas?
    Cópia?

    Responder
Aviso:

Todo e qualquer texto publicado na internet através deste sistema não reflete, necessariamente, a opinião deste site ou do(s) seu(s) autor(es). Os comentários publicados através deste sistema são de exclusiva e integral responsabilidade e autoria dos leitores que dele fizerem uso. A administração deste site reserva-se, desde já, no direito de excluir comentários e textos que julgar ofensivos, difamatórios, caluniosos, preconceituosos ou de alguma forma prejudiciais a terceiros. Textos de caráter promocional ou inseridos no sistema sem a devida identificação do seu autor (nome completo e endereço válido de email) também poderão ser excluídos.