Telefónica Tech Boletim semanal de Cibersegurança 29 Abril – 5 Maio Vulnerabilidade crítica nos firewalls Zyxel O fabricante de equipamentos de rede Zyxel lançou patches de segurança para uma vulnerabilidade crítica que afeta seus firewalls. A vulnerabilidade, que foi descoberta e relatada...
Telefónica Tech Boletim semanal de Cibersegurança 15 – 21 Abril Google corrige duas novas vulnerabilidades de 0-day exploradas ativamente O Google emitiu novos avisos de segurança sobre a identificação de vulnerabilidades de 0-day que afeta o navegador Chrome que está...
Telefónica WannaCry File Restorer Como recuperar informações afetadas pelo WannaCry?ElevenPaths 23 mayo, 2017 Quando ocorre este tipo de situação nas organizações uma boa prática é localizar cópias dos arquivos que em alguma instância possam ter sido afetados pela infecção de um malware ou, neste caso, de um ransonware. Seguem abaixo possíveis fontes de cópias destes arquivos: Os próprios arquivos não criptografados que não foram afetados pelo malware ou para os quais não houve tempo de que os afete. Mostraremos neste artigo um truque que permitirá recuperar parcialmente estas informações; Os back ups e cópias de segurança que tenhamos da nossa informação, geralmente, não conectados à rede; Informação de unidades compartilhadas e unidades na nuvem; Informação da caixa de correio do Office 365 e unidades de dados do Office 365; Informação em discos externos, como pen drives; Documentos temporários de Word, Excel ou Powerpint. Se a infecção ocorre quando temos um documento aberto, é provável que este tenha gerado um arquivo temporário em um sistema. Estas extensões não estão no radar do Wannacry, por isso estes arquivos não serão criptografados. Após a desinfecção, na próxima vez que abrir Word, Excel ou Powerpoint será possível recuperar este arquivo. Outra recomendação é disponibilizar nos equipamentos pontos de restauração, de modo que se possa voltar a um ponto anterior a execução do sistema. Desta forma, o usuário poderá acessar a um estado anterior em que não havia infecção e aplicar patchs da vulnerabilidade, evitando sofrer danos ou perder dados. A seguir, te mostramos outra forma de recuperação através da ferramenta RECUVA Trabalhamos continuamente nos últimos dias para entender na maior quantidade de detalhes os efeitos e as fraquezas do ransomware Wannacry. Hoje queremos explicar os detalhes que encontramos para continuar a luta contra este tipo de incidente que ameaça usuários e organizações. Recomenda-se que tais procedimentos nas organizações sejam executados somente por equipes de TI. Observamos que o ransomware têm duas formas de realizar o processo de criptografia. Em ambas o Wannacry usa uma pasta temporária para mover os arquivos que serão criptografados. Graças a isso, você pode executar um truque para recuperar alguns dos arquivos afetados pelo ransomware. No primeiro caso, o malware irá identifica se o computador tem uma partição de dados e usa o caminho %userprofile%appdatalocaltemp para mover os arquivos que o Wannacry criptografará. O primeiro arquivo movido é renomeado para 0.WNCRYT, o segundo para 1.WNCRYT e assim por diante. O Wannacry vai criptografar cada um desses arquivos para [nome] .WNCRY e momentos depois, excluir o arquivo correspondente * .WNCRYT. O arquivo armazenado em %userprofile%appdatalocaltemp é um arquivo temporário e não criptografado, apenas movido para este local e renomeado, deste modo você poderá recuperar o seu conteúdo. Deve-se levar em conta que o Ransomware intercala o processo de criar arquivos temporários e criptografá-los. Por este motivo, não será possível recuperar todos os arquivos. No segundo caso, o malware identifica que o equipamento onde está sendo executado tem partições de dados, criando na raiz da segunda partição uma pasta denominada $RECYCLE, a qual não devemos confundir com $RECYCLE.BIN. Nesta pasta $RECYCLE realiza o mesmo processo que no caso anterior, em que vai movendo os arquivos para a referida pasta com o objetivo de criptografá-los. Enquanto o arquivo se encontra com a extensão WNCRYT, o arquivo não foi perdido, por não estar criptografado. No instante que Wannacry converte o arquivo WNCRYPT para o arquivo WNCRY, este já está criptografado. A pergunta é: quando podemos encontrar estes arquivos? Infelizmente, nem sempre. Quando Wannacry criptografa um determinado arquivo, o arquivo temporário correspondente a ele é excluído. Se o usuário tiver desligado ou hibernado o computador no momento exato da execução do malware ou criptografia dos dados, terá interrompido o processo, de modo que todos os arquivos temporários com a extensão WNCRYT que não tenham sido criptografados podem ser recuperados. Esses arquivos temporários são armazenados em% userprofile% AppData local Temp ou US $RECYCLE, dependendo dos casos explicados acima, sendo os mesmos arquivos que a vítima tinha, mas com uma outra extensão. Se o ransomware concluir o processo de criptografia de todos os arquivos não resta nenhum arquivo temporário, por isso não será possível recuperar os arquivos por este método. Se, por outro lado, o ransomware ainda não terminou o processo de criptografia e os equipamentos foram hibernados (suspensos) ou desligados ou a execução do Wannacry foi interrompida, então será possível seguir com este método de recuperação. Por exemplo, na imagem acima, vemos vários arquivos temporários que o Wannacry não foi capaz de criptografar. Se abríssemos um desses arquivos, poderíamos ver através do seu cabeçalho que, neste caso, trata-se de um arquivo PDF. Simplesmente renomeando a extensão do arquivo, poderíamos recuperar e seu conteúdo. Para saber que tipo de arquivo é, recomendamos analisar o cabeçalho do arquivo, já que o nome original do arquivo não está disponível.. Na imagem abaixo, você pode visualizar como abrir o arquivo que foi renomeado. Mude o nome do arquivo 11339.WNCRYT para 11339.WNCRYT.pdf. Quando abrir este arquivo a partir do Windows será aberta a aplicação padrão associada para esta extensão e, como você pode ver na imagem, o arquivo estará intacto. A seguir te mostraremos um script denominado Telefónica WannaCry File Restorer que desenvolvemos no laboratório da Telefônica com o objetivo de poder recuperar e restaurar os arquivos e extensões dos arquivos afetados. Telefonica Wannacry File Restorer v0.1 Alpha Aqui você pode encontrar também a versão do script Alpha na nossa GitHub, que está em constante atualização. » Telefónica WannaCry File Restorer en GitHub » Telefónica WannaCry File Restorer en GitHub (versión escritorio) Além disso, lembramos que para evitar que este ou qualquer outro ransomware no futuro possa criptografar seus arquivos pessoais, você pode usar a ferramenta que criamos na ElevenPaths chamada Latch Antiransomware. No vídeo abaixo você pode ver como ela funciona: Instalación y configuración de Latch Antiransomware Latch ARW: Una herramienta AntiRansomware WannaCry con Latch AntiRansomware Mãe, eu quero ser hackerCibersegurança: um oceano de oportunidades para startups
Telefónica Tech Boletim semanal de Cibersegurança 11 – 17 Fevereiro Apple corrige 0-day explorado ativamente A Apple emitiu vários avisos de segurança para corrigir uma vulnerabilidade de 0-day explorada ativamente. A falha de segurança, listada como CVE-2023-23529, é uma confusão...
Telefónica Tech Boletim semanal de Cibersegurança 4 – 10 Fevereiro Vulnerabilidade crítica no Atlassian Jira A Atlassian emitiu um comunicado de segurança no qual lança correções para resolver uma vulnerabilidade crítica no Jira Service Management Server e no Data Center. De...
Telefónica Tech Boletim semanal de Cibersegurança 27 Janeiro – 3 Fevereiro LockBit Green: nova variante LockBit Pesquisadores da vx-underground detectaram recentemente que uma nova variante de ransomware, chamada LockBit Green, está sendo usada pelos manipuladores de ransomware LockBit. Esta nova variante seria...
Telefónica Tech Boletim semanal de Cibersegurança 21 – 27 Janeiro Killnet visando vítimas na Espanha Esta semana, o grupo hacktivista Killnet anunciou uma campanha de ataques contra a Alemanha, levando a ataques de Negação de Serviço Distribuído (DDoS) que tornaram...
Telefónica Tech Boletim semanal de Cibersegurança 14 – 20 Janeiro Vulnerabilidades críticas nos roteadores Netcomm e TP-Link Várias vulnerabilidades foram descobertas nos roteadores Netcomm e TP-Link. Por um lado, as falhas, identificadas como CVE-2022-4873 e CVE-2022-4874, são um caso de estouro de...
Telefónica Tech Boletim semanal de Cibersegurança 31 Dezembro – 6 Janeiro Cadeia de dependência do PyTorch é violada O PyTorch, uma popular estrutura de aprendizado de máquina de código aberto, alertou os usuários que instalaram o PyTorch todas as noites entre...