Criarumemail.com/

Latest Posts

O pesquisador de segurança da Cybereason, Amit Serper, encontrou uma maneira de evitar que o sistema de resgate Petya (NotPetya / SortaPetya / Petna) infecte computadores.
O ransomware tem causado muita gravidade na glob e hoje, bloqueando as seções MFT e MBR do disco rígido e impedindo que o computador inicialize. A menos que as vítimas optem por pagar um resgate ( que agora é inútil e não recomendado ), não havia como recuperar seus sistemas.
NotPetya Ransom Screen
Inicialmente, os pesquisadores acreditavam que este novo ransomware era uma nova versão de uma ameaça mais antiga chamada Petya, mas eles descobriram que essa era uma nova tensão, que emprestou algum código de Petya, daí o motivo pelo qual eles começaram recentemente a chamá-lo de NotPetya, Petna , Ou como gostamos de chamá-lo SortaPetya.

Os pesquisadores reuniram-se para encontrar o mecanismo Killswitch

Devido ao alcance global do Ransomware, muitos pesquisadores se reuniram para analisá-lo, na esperança de encontrar uma lacuna em sua criptografia ou um domínio de killswitch que o impediria de se espalhar, semelhante ao WannaCry .
Ao analisar o funcionamento interno do ransomware, Serper foi o primeiro a descobrir que a NotPetya procuraria um arquivo local e iria sair de sua rotina de criptografia se esse arquivo já existisse no disco.
As descobertas iniciais do pesquisador foram posteriormente confirmadas por outros pesquisadores de segurança, como a PT Security , a TrustedSec e a Emsisoft.
Isso significa que as vítimas podem criar esse arquivo em seus PCs, configurá-lo para somente leitura e bloquear o NotPetya ransomware de execução.
Embora isso evite que o ransomware seja executado, esse método é mais uma vacinação, em seguida, um interruptor de morte. Isso ocorre porque cada usuário do computador deve criar esse arquivo independentemente, em comparação com um "switch" que o desenvolvedor do ransomware pode ativar globalmente para prevenir todas as infecções do ransomware.

Como ativar a vacina NotPetya / Petna / Petya

Para vacinar seu computador para que você não consiga se infectar com a tensão atual de NotPetya / Petya / Petna (sim, essa nomeação é irritante), basta criar um arquivo chamado perfc  na pasta C: \ Windows e torná-lo somente leitura . Para aqueles que querem uma maneira rápida e fácil de executar esta tarefa, Lawrence Abrams criou um arquivo em lotes que executa este passo para você. 
Este arquivo em lote pode ser encontrado em: https://download.bleepingcomputer.com/bats/nopetyavac.bat
Para aqueles que desejam vacinar seu computador manualmente, você pode usar as seguintes etapas. Observe que essas etapas estão sendo criadas para torná-lo o mais fácil possível para aqueles com pouca experiência com o computador. Para aqueles que têm maior experiência, você pode fazê-lo em algumas, e provavelmente melhor, maneiras.
Primeiro, configure o Windows para mostrar extensões de arquivo. Para aqueles que não sabem como fazer isso, você pode usar este guia . Apenas certifique-se de que a configuração Opções de pasta para  Ocultar extensões para tipos de arquivo conhecidos não foi verificada como abaixo.
Opções de Pasta
Depois de ativar a visualização de extensões, que você sempre deve ter habilitado, abra a pasta C: \ Windows . Uma vez que a pasta está aberta, role para baixo até ver o programa notepad.exe.  
Pasta do Windows
Depois de ver o  programa notepad.exe , clique com o botão esquerdo sobre ele uma vez para que ele seja destacado. Em seguida, pressione Ctrl + C ( Botão Ctrl + C ) para copiar e, em seguida, Ctrl + V ( Botão Ctrl + V ) para colá-lo. Quando você colar, você receberá um prompt pedindo que você conceda permissão para copiar o arquivo.
Conceder permissão
Pressione o  botão Continuar  e o arquivo será criado como  bloco de notas - Copy.exe . Clique com o botão esquerdo neste arquivo e pressione a tecla F2 em seu teclado e, em seguida, apague o bloco de notas - Copie o nome do arquivo e digite perfc como mostrado abaixo.
Renomear arquivo
Uma vez que o nome do arquivo foi alterado para perfc, pressione Enter no seu teclado. Agora você receberá um prompt perguntando se você tem certeza de que deseja renomeá-lo.
Confirmação
Clique no   botão Sim . O Windows novamente pedirá permissão para renomear um arquivo nessa pasta. Clique no botão Continuar .
Agora que o arquivo perfc foi criado, agora precisamos fazê-lo somente ler. Para fazer isso, clique com o botão direito do mouse no arquivo e selecione Propriedades como mostrado abaixo.
Propriedades
O menu de propriedades deste arquivo agora será aberto. Na parte inferior, haverá uma caixa de seleção com Leitura somente . Coloque uma marca de seleção como mostrado na imagem abaixo.
Somente leitura
Agora, clique no botão Aplicar e depois no botão OK . A janela de propriedades deve fechar e seu computador agora deve ser vacinado contra o NotPetya / SortaPetya / Petya Ransomware.
Relatório adicional de Lawrence Abrams.

Blueeping Computer Cobertura Petya / NotPetya:

  •  
  •  
  •  
 
  •  

CATALIN CIMPANU  
Catalin Cimpanu é o Security News Editor da Bleeping Computer, onde aborda vários tópicos, tais como brechas de dados, vulnerabilidades de software, explorações, notícias de hacking, Dark Web, malware e mais alguns.Catalin já havia coberto as notícias da Web e da Segurança para a Softpedia entre maio de 2015 e outu
Introdução

Apenas uma semana após o surto WannaCry ransomware, os pesquisadores descobriram outro Ransomware chamado XData, que está infectando centenas de PCs na Ucrânia. Dentro de menos de 24 horas, a XData conseguiu um forte posicionamento nessas máquinas.

Embora esse fato seja notável em si mesmo, há um nível adicional de intriga em torno desse malware que atrai igualmente os entusiastas do crime e o teórico da conspiração. Acontece que o XData é realmente derivado de um ransomware antigo chamado AES-NI.

Desde o início, o suposto desenvolvedor da AES-NI contatou vários pesquisadores e jornalistas para desautorizar qualquer conexão com o XData. Independentemente dos motivos por trás do XData, o malware parece estar se espalhando para fora da Ucrânia, então estamos aqui para derrubá-lo e aumentar a conscientização sobre esta variante de ransomware virulenta e destrutiva, em um esforço para mostrar outras equipes de segurança como bloqueá-lo de infectar Seus sistemas.

Primeiro, o drama

O Ransomware AES-NI surgiu em torno de dezembro de 2016, depois que usuários infectados publicaram a nota de resgate e a extensão de arquivos em fóruns de ajuda. Algumas das primeiras extensões de arquivos anexadas aos arquivos criptografados incluem .lock, .pre_alpha, .aes e .aes_ni. Como é frequentemente o caso, o nome veio de cordas únicas na nota de resgate.

Em 18 de maio de 2017, a versão XData surgiu. Seu código é baseado na versão AES-Ni original, mas existem algumas diferenças notáveis, como XData não está usando TOR para seu servidor de Comando e Controle (C & C) e uso de técnicas de injeção de processo. A diferença mais óbvia é a extensão de arquivo para arquivos criptografados, que é ". ~ Xdata ~".

De acordo com o desenvolvedor da AES-NI, que atuou no Twitter e chegou a alguns pesquisadores de segurança e a BleepingComputer, ele acha que seu código fonte para AES-NI foi roubado e usado para criar XData. Como XData pode ter usuários propositalmente infectados na Ucrânia e outros países perto da Rússia, o que é incomum para a maioria dos sistemas de armazenamento desenvolvido na Rússia, o desenvolvedor da AES-NI pensa que está sendo enquadrado para isso.

Presumivelmente devido ao medo de entrar em problemas com a aplicação da lei russa, o desenvolvedor decidiu liberar a chave de descodificação de algumas das variantes AES-NI. Após o lançamento das chaves de descriptografia para o público, existem agora algumas ferramentas de descriptografia gratuitas disponíveis para ajudar as vítimas a recuperar seus arquivos.

Notavelmente, as versões mais recentes do AES-NI agora estão fazendo suas rodadas usando extensões ".aes_ni_0day" e ".pr0tect" e se celebram como uma "edição de exploração de NSA" especial.



Figura 1: Notas de resgate de amostra de AES-NI e XData

Nossa Análise

Usamos uma das variantes mais recentes para nossa análise. O arquivo binário principal é altamente criptografado e, uma vez que ele é executado, ele primeiro procura e executa o arquivo do sistema Windows "svchost.exe" no modo suspenso. O arquivo binário contém um arquivo DLL que é armazenado criptografado na seção de recursos. Ele extrai \ decrypts e carrega este arquivo DLL na memória.

Este arquivo DLL é o programa TOR que a AES-NI usa para se conectar diretamente e de forma segura aos sites que ele precisa acessar. Uma vez que o arquivo DLL é carregado na memória, ele é injetado no processo "svchost.exe" atualmente suspenso. E após a injeção, ele retoma o processo suspenso em que sua execução começa no módulo "solicitação" do arquivo DLL injetado.



Figura 2: Processo suspenso "svchost.exe" com o arquivo DLL injetado sendo retomado



Figura 3: a execução da DLL injetada começa no módulo "solicitação"

O programa TOR é executado para se conectar a servidores direcionados. Uma vez conectado, ele envia informações do sistema coletadas do PC infectado.

Figura 4: programa TOR conectado aos servidores direcionados

Enquanto o programa TOR está em execução, o binário principal também tenta se conectar aos seguintes URLs:
• "kzg2xa3nsydv [xxxx] .onion / gate.php" (servidor C & C)

• "ipinfo.io" - para verificar a conexão com a internet e informações de geolocalização

Conforme visto na imagem abaixo, a conexão com a internet e as informações de localização geográfica foram coletadas e serão enviadas ao servidor C & C juntamente com outros detalhes do sistema, como o "Nome do computador", "Nome do usuário", "Data de instalação da versão do SO", Etc.



Figura 5: detalhes de conexão de Internet e geolocalização obtidos da ipinfo.io

O binário principal então começa a procurar arquivos para criptografar. Ele primeiro enumera unidades locais e mapeadas e busca recursivamente arquivos para criptografar. Ele ignora a criptografia de arquivos com ". Sys "," .exe "," .msi "," .lnk "e" .dll " , bem como todos os arquivos dentro das pastas " Windows " e " Desktop " . Isso garante que o sistema ainda funciona corretamente após a criptografia. Ele também ignora o arquivo criptografado com menos de 16 bytes de tamanho.
Ele criptografa arquivos usando criptografia AES-256 e RSA-2048 e renomeia todos os arquivos criptografados anexando a string ".aes_ni_0day" em seus nomes de arquivos originais, conforme mostrado abaixo:



Figura 6: Arquivos criptografados agora com extensões ".aes_ni_0day"

Ele também cria a nota de resgate usando o nome do arquivo "!!! LEIA ESTE - IMPORTANTE !!!. Txt "em cada pasta. O conteúdo da nota de resgate é mostrado abaixo:


Figura 7: A nota de resgate e as instruções

De acordo com a nota de resgate, o malware é uma versão especial denominada "NSA EXPLOIT EDITION", provavelmente referente ao despejo ShadowBrokers do conjunto de ferramentas de exploração FuzzBunch, que foi supostamente roubado da NSA.
No entanto, nós não encontrou nenhuma evidência nesta versão de capacidades semelhantes a vermes semelhantes a WannaCry , agora conhecida famosa por ter usado uma combinação dos EternalBlue ferramentas e DoublePulsar com efeito devastador. A nota de resgate pode simplesmente se referir ao uso que os atacantes das façanhas no despejo para entregar o ransomware à máquina da vítima.

Esta variante também pode criptografar arquivos em toda a rede local usando compartilhamentos de rede abertos e autenticados. Ele verifica a rede usando endereços derivados do próprio endereço dos sistemas infectados, procurando compartilhamentos abertos e compartilhamentos de administrador (IPC $, C $). Uma vez que ele encontra um computador com um compartilhamento aberto, ele tenta negociar conexões. Uma vez que uma conexão foi feita, ela irá criptografar arquivos armazenados nessas pastas compartilhadas.


Figura 8: Varredura de rede para computadores com compartilhamento aberto

AES-NI ransomware gera uma chave pública localmente para criptografar arquivos. Juntamente com a chave privada, essa chave pública é necessária pelo atacante para que possa descriptografar os arquivos afetados. A chave pública é armazenada na pasta "C: \ ProgramData" e uma cópia também é enviada para o servidor C & C. Conforme instruído na nota de resgate, esta chave pública deve ser enviada ao atacante se a vítima decidir pagar o resgate.

Figura 9: Chave pública gerada

O AES-NI também tenta encerrar centenas de serviços em execução se instalado no computador da vítima, como:
ACRONIS StorageNode
Acronis VSS Provider
AcronisAgent
Altaro.SubAgent.exe
Altaro.UI.Service.exe
BackupExecAgentAccelerator
BackupExecAgentBrowser
BackupExecDeviceMediaService
MMS
MsDtsServer
MsDtsServer100
MSExchangeADTopologia
MySQL
MySQL56
NAVSERVER

Esses serviços abrangem uma ampla gama de software e incluem software de backup e recuperação, software de banco de dados e outros. Muitas vezes, o ransomware almeja arquivos de banco de dados para criptografia, potencialmente aumentando as apostas para a vítima. No entanto, o software de banco de dados e outros softwares que trabalham com dados tipicamente bloqueiam seus arquivos de dados para evitar que outro software modifique o arquivo (e, claro, excluindo). Para obter a lista completa dos serviços, consulte o Apêndice A.

Usando a ferramenta wevtutil.exe, este ransomware exclui todos os registros de eventos do Windows como parte de sua técnica furtiva. Ele cria o arquivo de lote mostrado na imagem abaixo e imediatamente o exclui após a execução.



Figura 10: Excluir logs de eventos do Windows

Stealth Capabilities - File-less-ness
Uma característica muito interessante deste ransomware é o fato de que não deixa vestígios de seu mecanismo de infecção no sistema. O binário principal possui uma autodestruição que é comum à maioria dos malwares e o processo de injeção DLL não produziu nenhum arquivo físico porque tudo foi feito na memória.

Ele também exclui todos os arquivos não binários que ele cria e, juntamente com a exclusão dos logs de eventos do Windows, será difícil rastrear e analisar como os arquivos da vítima foram criptografados. Isso será efetivo para quaisquer novas versões que não tenham sido vistas e detectadas por assinaturas antivírus (AV), porque encontrar a amostra real do computador afetado será difícil.

Conclusão

O Ransomware AES-NI ainda é um dos ransomware mais eficazes lá fora. Tem sido visto em diferentes partes do mundo. Como é altamente eficaz e não obteve tanta atenção como, digamos, WannaCry, esperamos que mais versões sejam lançadas no futuro próximo, então continuaremos seguindo (e bloquearemos com CylancePROTECT®) este ransomware E seus "spinoffs". Esse Ransomware também pode acabar se tornando um que oferece o Ransomware-as-a-Service (RaaS).

A capacidade do Ransomware da AES-NI de ocultar seu rastreamento nos computadores da vítima pode ser muito desafiadora para análises e pesquisas forenses. Sem deixar nenhum traço de infecção, será difícil obter as amostras reais, especialmente para os fornecedores de segurança que precisam do arquivo real para criar assinaturas para.

Se você usa nosso produto de proteção de ponto de extremidade CylancePROTECT® , você já estava protegido contra este ataque. Se você não possui o CylancePROTECT, entre em contato conosco para saber como nossa solução orientada por AI pode prever e prevenir ameaças desconhecidas e emergentes.

Indicadores de Compromisso (IoCs)

SHA-256 Hashes:

157D7AD2664AA2B7F534A628D56026B0DF9F5FFCCE7CC1F1943A9F939B3F4CF0
19339A16D23C642118A1BA7E2B7CD20A92290A6E645491AF048654BC57B51FD6
4142FF4667F5B9986888BDCB2A727DB6A767F78FE1D5D4AE3346365A1D70EB76
9D37D25052949E11DA33DFC5098E589EFD33703BFA623473F5BCD02959EE159F
A9E2D14DC0F3CF022D52C671675961489592D5F90F97791FBD99007A4F494BD3
CDEF49474F70CE08E0925427D6482DC1317466AEB3F0A5A3EE86F7B8AB09202A
F8C12248B4336F6AB998B0B055B68608EBBE9031E5AE962FCD5D6069D1504334

Referências:

Http://blog.trendmicro.com/trendlabs-security-intelligence/analyzing-fileless-code-injecting-sorebrect-ransomware/
https://www.bleepingcomputer.com/news/security/aes-ni-ransomware-dev- Libera-decodificação-chaves-em meio-medos de ser-enquadrado-para-xdata-outbreak /
http://www.2-spyware.com/the-end-of-aes_ni-ransomware-the-hacker-publishes- Chaves de descriptografia
https://blog.avast.com/avast-releases-decryptor-tool-for-aes_ni-ransomware

Apêndice A - Lista de Serviços



Sobre a Equipe de Orientação de Ameaças de Cylance

A equipe de Orientação de ameaças da Cylance examina malware e suspeita de malware para identificar melhor suas habilidades, funções e vetores de ataque. Threat Guidance está na linha de frente da segurança da informação e muitas vezes examina profundamente o software mal-intencionado, o que os coloca em uma posição única para discutir ameaças nunca vistas antes.

https://www.cylance.com/en_us/blog/threat-spotlight-aes-ni-aka-sorebrect-ransomware.html

Como Encontrar Alguém Na 

9759
 
0
Como encontrar alguém na Whatsapp
Como encontrar alguém na Whatsapp
Encontre Someones Location em Whatsapp
Todos nós estamos sempre ocupados usando esta aplicação como o WhatsApp. Mas você sabia o fato básico de que o WhatsApp pode ser usado para rastrear a localização de alguém e existem certas maneiras de fazer o mesmo? Lemos sobre muitas pessoas que estavam debatendo sobre o mesmo e aqui estamos, para limpar toda a confusão. Essa é a razão pela qual estamos aqui para informá-lo sobre as técnicas em que você pode encontrar a localização de alguém no WhatsApp.

Como encontrar alguém na localização do Whatsapp:

  • Se você está pensando em obter a localização de alguém sem o seu consentimento , então isso pode ser uma coisa ruim e pode precisar de um nível superior de tecnologia de hacking também. Mas se você quiser obter a localização, então o caminho fácil pode ser pedir o mesmo, e então eles podem adicionar a captura de tela ao mapa de localização.
  • Se você acha que você terá o ponto exato da localização , então você pode estar um pouco errado. Isto é devido ao fato de que quando você pergunta ao WhatsApp para enviar o local, ele envia uma localização precisa de onde você pode estar. Mas às vezes também pode estar errado, e então você pode mudar a localização e enviá-la.

  • Também é fácil dar uma olhada na localização da pessoa, observando o código do país da pessoa e é fácil para o Google o código para ver onde a pessoa pertence. Mas se eles se mudaram para outro lugar, é o melhor para perguntar sobre sua localização.
  • Algumas pessoas sempre dizem que é o melhor que você usa o WhatsApp como serviço de mensagens instantâneas e nada mais. Mas se for absolutamente necessário que você vá para a localização, então você precisa usar alguns softwares que o ajudem a rastrear a localização, usando o número de telefone usado para a WhatsApp e também tiver uma localização precisa.


É de notar que a localização deve ser rastreada com todo o conhecimento do indivíduo para que não seja feito de maneira ilegítima. Mas WhatsApp é um fórum que pode dar-lhe a localização da pessoa quando necessário e é muito mais do que apenas um aplicativo de mensagens instantâneas.
Agora compartilhe como encontrar a localização de alguém no Whatsapp Post com seus amigos e grupos do Facebook, Twitter, Google Plus e Whatsapp.

Brainstorm

Monitor a story

People Trail

Paper Trail

Location

Verification

Collect Data

Structure your story

Production

Privacy

Reporting

Multimedia Publishing

Snowfalling

Data Stories

Analytics

Need more Tools?
Twitter: @Journalism2ls
Web: http://journalismtools.io/