«

»

maio 07 2015

Novo worm se auto-destrói (e leva seu PC junto) se detectado

Um novo worm – batizado de Rombertik pela equipe de segurança da Cisco – atua como muitos de seus “irmãos”: Essencialmente, é um keylogger (armazena sequência de teclas digitadas e as envia para o attacker). O que o diferencia das demais ameaças, entretanto, é o seu mecanismo de auto-defesa. O worm está programado para causar danos praticamente irreversíveis ao PC infectado caso ele seja detectado.

O worm faz isso tentando, primeiro, criptografar com uma chave aleatória o setor MBR do disco, deixando elementos essenciais ao funcionamento do PC – como a tabela de partições – inacessíveis. Se ele não conseguir acesso ao MBR, ele criptografa a pasta home local do usuário. Além da perda de arquivos, isso acaba causando uma série de problemas já que dados de aplicações e mesmo do sistema operacional residem nesta pasta. Após finalizar a criptografia (seja da MBR ou da pasta do usuário), ele faz com que o PC reinicie, o que resulta em um “brick” do equipamento – o usuário não consegue mais acessar nada e terá de reformatar e reinstalar tudo, do zero. Se isso acontecer, você verá a mensagem “Carbon crack attempt, failed.” (ou seja: Se você ver esta msg, sente e chore).

O worm também possui mecanismos que dificultam sua identificação e posterior “sandboxing”. Enfim, é um super worm.

Como evitá-lo? 

  1. Evite clicar em links suspeitos, especialmente em seus e-mails.
  2. Jamais baixe e/ou execute algo enviado em anexo por e-mail, a não ser que você tenha 100% de certeza quanto à procedência.
  3. Evite acessar sites suspeitos.
  4. Mantenha um mecanismo de detecção de ameaças atualizado. O windows tem o Windows Defender embutido, mas eu não sei dizer até que ponto ele é eficiente no que se refere à detecção desta nova ameaça. 

Maiores infos: http://cldcmp.us/1JsWZNJ e no blog oficial da Cisco, em http://cldcmp.us/1F00Zpe



Comente usando o Facebook!
0
0

1 comentário

  1. ferrugem

    Artigo muito legal. Valeu por compartilhar Marco! Abs

    0

    0

Deixe uma resposta