[MASOCH-L] Noticia - 'Bad Rabbit' ransomware

Leandro Carlos Rodrigues leandro at allchemistry.com.br
Wed Oct 25 11:45:05 -03 2017 

Ótimo. Eu vou usar essa lista para bloqueios individuais de TLDs para 
alguns usuários aqui pois isso vai reforçar a reputação ruim de domínios 
punks.

Só não dá para bloquear TLDs na URIBL pois pode gerar falsos positivos 
para a galera de fora do SPFBL.

Entretanto, estou estudando um algoritmo que gera estatísticas para 
URLs, com alto índice de bloqueio dos usuários locais, e vai bloqueando 
os domínios individuais na URIBL automaticamente para os usuários externos.

Leandro Carlos Rodrigues
TI All Chemistry do Brasil
(11) 3014-7100

Em 25/10/2017 11:32, Anderson C. Santos escreveu:
> Prezado Leandro,
>
>    Estes listados, fiz block sem piedade por aqui (lembrando que tenho
>       minha whitelist automatica por envio).
>
>    Alias fui mais longe:
>
>    .xyz
>    .cl
>    .ga
>    .gq
>    .bz
>    .win
>    .top
>    .cf
>    .ml
>    .tk
>
>    Todas estas TLDs estao em block - a quantidade de spam gerada estava
>      fora de controle.
>
>    Abracos,
>
>    Anderson C. Santos
>    anderson at microquest.com.br
>
> On 25/10/2017 11:27, Leandro Carlos Rodrigues wrote:
>> Boa. Vocês acham conveniente listar todos esses? Quer dizer, atirar
>> primeiro e perguntar depois?
>>
>> Leandro Carlos Rodrigues
>> TI All Chemistry do Brasil
>> (11) 3014-7100
>>
>> Em 25/10/2017 11:21, Luiz Fernando Mizael Meier escreveu:
>>> Em um grupo da área de colegas recebi a lista de domínios que
>>> pupostamente
>>> ele usa:
>>>
>>> argumentiru[.]com
>>> fontanka[.]ru
>>> grupovo[.]bg
>>> sinematurk[.]com
>>> aica.co[.]jp
>>> spbvoditel[.]ru
>>> argumenti[.]ru
>>> mediaport[.]ua
>>> blog.fontanka[.]ru
>>> an-crimea[.]ru
>>> t.ks[.]ua
>>> most-dnepr[.]info
>>> osvitaportal.com[.]ua
>>> otbrana[.]com
>>> calendar.fontanka[.]ru
>>> grupovo[.]bg
>>> pensionhotel[.]cz
>>> online812[.]ru
>>> imer[.]ro
>>> novayagazeta.spb[.]ru
>>> i24.com[.]ua
>>> bg.pensionhotel[.]com
>>> ankerch-crimea[.]ru
>>> 1dnscontrol[.]com
>>>
>>> Em 25 de outubro de 2017 11:10, Thiago <braid.skywalker at gmail.com>
>>> escreveu:
>>>
>>>> Pelo que vi é apenas em máquinas windows, correto?
>>>> Ou tá rolando em macs/linux/*nix em geral?
>>>>
>>>> 2017-10-25 10:57 GMT-02:00 Leandro Carlos Rodrigues <
>>>> leandro at allchemistry.com.br>:
>>>>
>>>>> Beleza. Mandei listar esse host então:
>>>>>
>>>>>      ubuntu:~$ ./uribl.pl http://1dnscontrol.com/flash_install.php
>>>>>      1dnscontrol.com is listed in 'uribl.spfbl.net'.
>>>>>
>>>>> Se aparecerem novas URLs de origem, peço a gentileza que enviem as
>>>>> amostras para abuse at spfbl.net.
>>>>>
>>>>> Para  maiores detalhes de como usar essa URIBL:
>>>>>
>>>>>      http://spfbl.net/uribl
>>>>>
>>>>> Mesmo que começarem transmitir a URL por meio de encurtadores, ou por
>>>>> redirecionamento Java script, a consulta por meio desse script acima
>>>>> vai
>>>>> pegar da mesma forma porque ele só considera a última URL da cadeia de
>>>>> redirecionamento. Adaptem o script para suas necessidades locais.
>>>>>
>>>>> Abraços,
>>>>>
>>>>> Leandro Carlos Rodrigues
>>>>> TI All Chemistry do Brasil
>>>>> (11) 3014-7100
>>>>>
>>>>> Em 25/10/2017 10:47, Eduardo Santos - Barros escreveu:
>>>>>
>>>>>> É a origem do arquivo "flash_player.exe" infectado
>>>>>> Nesse report da Trend tem um fluxograma interessante.
>>>>>> http://blog.trendmicro.com/trendlabs-security-intelligence/
>>>>>> bad-rabbit-ransomware-spreads-via-network-hits-ukraine-russia/
>>>>>>
>>>>>>
>>>>>> Em 25 de outubro de 2017 10:34, Leandro Carlos Rodrigues <
>>>>>> leandro at allchemistry.com.br> escreveu:
>>>>>>
>>>>>> Só não entendi uma coisa. Esse link http://1dnscontrol[.]com/flash
>>>>>>> _install.php
>>>>>>> é o link fixo que este ransomware usa ou é só um exemplo de muitos
>>>> outros
>>>>>>> ativos?
>>>>>>>
>>>>>>> Leandro Carlos Rodrigues
>>>>>>> TI All Chemistry do Brasil
>>>>>>> (11) 3014-7100
>>>>>>>
>>>>>>>
>>>>>>> Em 25/10/2017 10:28, Eduardo Santos - Barros escreveu:
>>>>>>>
>>>>>>> análise detalhada -> https://securelist.com/bad-
>>>> rabbit-ransomware/82851/
>>>>>>>> Em 25 de outubro de 2017 10:19, Andre Almeida <andre at bnet.com.br>
>>>>>>>> escreveu:
>>>>>>>>
>>>>>>>> Alerta de ataque virtual, que começou na Russia e Ucrânia. Assim
>>>>>>>> como
>>>> o
>>>>>>>>> último ataque global, deve atingir o Brasil.
>>>>>>>>>
>>>>>>>>> O ataque começa quando você recebe uma mensagem oferecendo uma
>>>>>>>>> atualização
>>>>>>>>> do software Adobe Flash Player, por tanto, não façam essa
>>>> atualização.
>>>>>>>>> Aos
>>>>>>>>> que tem filhos, não esqueçam de repassar essa mesma orientação.
>>>>>>>>>
>>>>>>>>> Mais informações:
>>>>>>>>>
>>>>>>>>> http://www.bbc.com/news/technology-41740768
>>>>>>>>>
>>>>>>>>> http://exameinformatica.sapo.pt/noticias/mercados/2017-10-
>>>>>>>>> 25-Ha-um-novo-ataque-informatico-em-marcha-na-Europa-e-na-Russia
>>>>>>>>>
>>>>>>>>> https://adrenaline.uol.com.br/2017/10/25/52603/kaspersky-
>>>>>>>>> alerta-sobre-bad-rabbit-novo-ransomware-que-pode-ser-a-proxi
>>>>>>>>> ma-epidemia-/
>>>>>>>>>
>>>>>>>>> Andre
>>>>>>>>> __
>>>>>>>>> masoch-l list
>>>>>>>>> https://eng.registro.br/mailman/listinfo/masoch-l
>>>>>>>>>
>>>>>>>>>
>>>>>>>>>
>>>>>>>> __
>>>>>>> masoch-l list
>>>>>>> https://eng.registro.br/mailman/listinfo/masoch-l
>>>>>>>
>>>>>>>
>>>>> __
>>>>> masoch-l list
>>>>> https://eng.registro.br/mailman/listinfo/masoch-l
>>>>>
>>>> __
>>>> masoch-l list
>>>> https://eng.registro.br/mailman/listinfo/masoch-l
>>>>
>>> __
>>> masoch-l list
>>> https://eng.registro.br/mailman/listinfo/masoch-l
>> __
>> masoch-l list
>> https://eng.registro.br/mailman/listinfo/masoch-l
> __
> masoch-l list
> https://eng.registro.br/mailman/listinfo/masoch-l

More information about the masoch-l mailing list