Todo cuidado é pouco com uma nova variante do ransomware "Anti-Child Porn Spam Protection - 2.0 version", descoberta há poucos dias.
 
Os atacantes procuram máquinas Windows publicadas na internet com RDP (Remote Desktop) ativo e realizam um ataque de força bruta em tais máquinas. Uma vez que conseguem o acesso, transferem a ameaça para a máquina e a executam.
 
A ameaça encripta com AES, utilizando o formato SFX do WinRar, todos os arquivos que parecem ser documentos (.doc[x], .xls[x], .txt, .mdb, .zip etc - lista completa disponível no link ao final do texto) com uma senha aleatória gerada no momento da execução. Tal chave é enviada ao atacante, que cobra de 3 a 5 mil dólares americanos para revelá-la.
 
Já são dezenas de vítimas na América Latina. A Trend Micro já detecta algumas variantes, mas novas estão sendo criadas num espaço de tempo muito curto para evitar a detecção por AVs. Todo cuidado é pouco. Recomendamos como melhores práticas para clientes:
 
1. Verificar a política de uso da Área de Trabalho Remota (RDP)

Desativar o serviço nas máquinas que não necessitam, lembrando que isso pode ser feito utilizando Group Policies para todas as máquinas no domínio. Atenção especial para quem tem acesso direto à Internet (servidores DNS, por exemplo, gateways, firewalls etc). Para as máquinas que precisam usufruir de tal recurso, filtrar quem pode acessar o recurso via controle de permissões (grupos) e firewall. Para clientes de Deep Security, certificar-se de que a regra “1001852 - Identified Attempt To Brute Force Windows Login Credentials” esteja habilitada. Clientes de Deep Discovery também devem ficar atentos a eventos de ataques de força bruta, principalmente via RDP, além de conexões via RDP oriundas de fora da rede corporativa.
 
2. Aplicar patches de segurança do Windows

As vulnerabilidades MS12-020 e MS13-029, por exemplo, são do protocolo RDP e permitem execução remota de código. A mais recente é de abril deste ano. Tenha certeza de estar com todos os patches em dia em suas instalações de Windows, principalmente em servidores! Clientes de Deep Security e IDFdevem se certificar de que a regra 1005453 - RDP ActiveX Control Remote Code Execution Vulnerability (CVE-2013-1296), que protege contra essa vulnerabilidade, esteja habilitada para máquinas que utilizam e recebem conexões via RDP. Clientes de Deep Discovery também devem ficar atentos às tentativas de exploração na porta 3389, padrão do RDP.
 
3. Reforçar todas as senhas de usuários das máquinas Windows

Uma senha forte não é uma senha que não se pode decorar! Por exemplo, a senha "S0l........." tem 12 caracteres e é tecnicamente mais forte que "a0-+[3/;p!Z", que tem 11. Ambas possuem letras maiúsculas, minúsculas, números e caracteres especiais.
  
Mais informações: http://about-threats.trendmicro.com/us/malware/TROJ_RANSOM.EHA

Estamos à disposição.

Trend Micro Brasil