-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA512 CAIS-Alerta [25/10/2017]: Ataque massivo do ransomware Bad Rabbit Prezados, O CAIS alerta para um novo ataque massivo de ransomware que tem afetado diversas organizações na Europa e Ásia. O ransomware Bad Rabbit afeta sistemas operacionais Windows cifrando os arquivos e se propagando para outros equipamentos que estejam conectados na mesma rede. Descrição O ransomware, aparentemente uma variante do NotPetya, infecta usuários que acessam sites comprometidos solicitando que seja realizado o download de uma atualização falsa do Adobe Flash Player, caso o usuário realize o download do arquivo e execute o mesmo, é realizado a cifragem dos dados. Após a infecção, o ransomware tenta se propagar através da rede local via protocolo SMB, coletando credenciais locais da máquina infectada buscando acesso administrativo em outros computadores da rede. Nos ambientes infectados é solicitado à vítima o pagamento de uma taxa para envio da chave que poderá decifrar os dados. Porém, de acordo com relatos conhecidos, o pagamento da taxa de resgate ao usuário malicioso não garante que o mesmo irá enviar a chave para decifrar os arquivos, o que torna importante realizar regularmente o backup dos arquivos para recuperação quando necessário. Sistemas impactados Windows XP Windows Vista Windows Server 2008 Windows 7 Windows 8.x Windows Server 2012 Windows 10 Windows Server 2016 Recomendações de Proteção 1. Manter o backup dos dados atualizados; 2. Manter o sistema operacional atualizado com os patches de segurança; 3. Manter o sistema de proteção antimalware atualizado; 4. Restringir o acesso a porta 445; 5. Utilizar contas administrativas nos sistemas somente quando necessários; 6. Desabilitar o WMIC(Windows Management Instrumentation Command-line) caso o mesmo não esteja sendo utilizado; 7. Isolar computadores Infectados; 8. Realizar atualização do Adobe Flash Player somente no site oficial. Identificadores CVE (http://cvw.mitre.org) Não informado. Mais informações https://www.group-ib.com/blog/badrabbit https://www.kaspersky.com/blog/bad-rabbit-ransomware/19887/ https://blog.qualys.com/news/2017/10/24/bad-rabbit-ransomware O CAIS recomenda que os administradores mantenham seus sistemas e aplicativos sempre atualizados, de acordo com as últimas versões e correções oferecidas pelos fabricante. Os alertas do CAIS também são oferecidos no Twitter: Siga @caisrnp Atenciosamente, CAIS/RNP ################################################################ # CENTRO DE ATENDIMENTO A INCIDENTES DE SEGURANCA (CAIS) # # Rede Nacional de Ensino e Pesquisa (RNP) # # # # cais em cais.rnp.br http://www.rnp.br/servicos/seguranca # # Tel. 019-37873300 Fax. 019-37873301 # # Chave PGP disponivel https://www.cais.rnp.br/cais-pgp.key # ################################################################ -----BEGIN PGP SIGNATURE----- Version: GnuPG v2 iQIcBAEBCgAGBQJZ8Kx7AAoJEHzeoDS4+PSYk30QAII6FferAF8Kiv5NjFZRNnAv 7AeINouapnDBrVg2M5S48V6v6V66TgCNcKz3Iz8STOaZUDVw0JVhRHcqT1rhBBfc gegPhPtc3ePXC3CpRPq9I5DS0GQ8eZ7crmt5uw09peesGoAx8bi6VTyAL0QUrx+O 89xHvslVhq4Ss6JIUodXP9jsID+riCY3/I6AZ08c+eYYBw7CWkDpYZaLpCl48Sn2 fohNddr+c3A1OwEEd3og5lOetd3PrXgH7KS6ZMkCSTtT9VE1o7ye+CQbNOZiEO2H 3wGAufi/aoWjf/iXoVTyzaR+57keUeJYtMNpq8BFcSGnyAefzVXCLOROua9ZKm5V WVB7Y6lUTtuG0hK3n/l5bTgssvwyFE0h5qKgyYbBSz7KjwxYDG6JhSnS+FM9EbFq crDya19BJJfUqLWTJI6XFeAUOkxTwTOJmBSZ0uNBIEWl51M7o6pZqztY/IH+QFgc RpSsMsGhu1qQK+vmkOslH+8v6FdI318dEqY4nye3qpPJ3vxJ/ysEbEuWnKh5clW9 nmXypURE5JCuwt3eHJk/THLTVP26QzOdAv0yTf7EUaGHSf7chqWoaJBfHDwrwXdP lkJ+CCxiOSajTXXFvCiDo1k0g601bNWmsizZ0lOjZir5bldXoiLbjHdNP5xvQYjV VmlVAGk1cvr3UIhk2qh7 =NFfp -----END PGP SIGNATURE----- _______________________________________________ RNP-Alerta rnp-alerta@listas.rnp.br http://listas.rnp.br/mailman/listinfo/rnp-alerta