Wannacry ransomware attack: 3 coisas importantes para saber

Ataques de ransomware, conhecidos pelo nome de WannaCry, foram reportados em todo o mundo por especialistas em segurança na sexta-feira e vários alertas foram emitidos para aumentar as medidas de segurança em dispositivos conectados à web, como uma segunda onda de ataques esta semana.

Os ataques de ransomware - um truque de hackers que já dura uma década - atingiram a Rússia, a Ucrânia, a Espanha, o Reino Unido e a Índia.

Outros países, incluindo EUA, Brasil, China, entre outros, da América do Norte, América Latina, Europa e Ásia foram atingidos pelo ataque de ransomware.

O ransomware criptografa arquivos em um dispositivo usando a extensão '.wcry' e é iniciado por meio de uma execução remota de código SMBv2 (Server Message Block Version 2).

Leia também: O que é o Ransomware e como se proteger? e o smartphone vulnerável ao ataque WannaCry Ransomware?

A equipe de Pesquisas e Análises Globais da Kaspersky Lab apontou que 'os computadores Windows sem patches que expõem seus serviços SMB podem ser atacados remotamente' e 'essa vulnerabilidade parece ser o fator mais significativo que causou o surto'.

Hackers do grupo Shadow Brokers são responsáveis ​​por tornar o software malicioso para realizar este ataque disponível na internet em 14 de abril.

Quão generalizado é o ataque?

O impacto total deste ataque ainda é desconhecido, pois especialistas em segurança cibernética esperam que ondas adicionais do ataque atinjam mais sistemas.

De acordo com um relatório do New York Times, o ataque assumiu o controle de mais de 200.000 computadores em mais de 150 países.

Empresas e órgãos governamentais, incluindo ministérios russos, FedEx, Deutsche Bahn (Alemanha), Telefônica (Espanha), Renault (francesa), Qihoo (China) e o Serviço Nacional de Saúde do Reino Unido, foram afetados.

A Equipe de Resposta a Emergências de Computadores da Espanha (CCN-CERT) também pediu um alerta máximo no país, já que as organizações podem ter sido afetadas pelo ransomware.

“O software malicioso WannaCrypt rapidamente se espalhou globalmente e é retirado das explorações roubadas da NSA nos EUA. A Microsoft lançou uma atualização de segurança para consertar essa vulnerabilidade, mas muitos computadores não foram corrigidos globalmente ”, afirmou a Microsoft.

O seguinte software foi afetado até agora:

• Windows Server 2008 para sistemas de 32 bits
• Windows Server 2008 para sistemas de 32 bits service pack 2
• Windows Server 2008 para sistemas baseados em Itanium
• Windows Server 2008 para sistemas baseados em Itanium service pack 2
• Windows Server 2008 para sistemas baseados em x64
• Windows Server 2008 para sistemas baseados em x64 service pack 2
• Windows Vista
• Service Pack 1 do Windows Vista
• Service pack 2 do Windows Vista
• Windows Vista x64 Edition
• Service Pack Windows Vista x64 Edition 1
• Pacote de serviços do Windows Vista x64 Edition 2
• Windows 7
• Windows 8.1
• Windows RT 8.1
• Windows Server 2012 e R2
• Windows 10
• Windows Server 2016

Como isso afeta os sistemas?

O malware criptografa arquivos contendo extensões de escritório, arhives, arquivos de mídia, bancos de dados de e-mail e e-mails, código-fonte do desenvolvedor e arquivos de projeto, arquivos gráficos e de imagem e muito mais.

Uma ferramenta de descriptografia também é instalada junto com o malware que ajuda a fazer com que o valor de 300 dólares resgate exigido em Bitcoins, bem como descriptografar os arquivos uma vez que o pagamento é feito.

A ferramenta descriptografadora executa dois cronômetros de contagem regressiva - um cronômetro de três dias, após o qual é indicado que o resgate aumentará e um cronômetro de sete dias que indica a quantidade de tempo restante antes que os arquivos sejam perdidos para sempre.

Como a ferramenta de software tem a capacidade de traduzir seu texto para vários idiomas, é evidente que o ataque está sendo direcionado globalmente.

Para garantir que a ferramenta decodificadora seja encontrada pelo usuário, o malware também altera o papel de parede do PC afetado.

Como se manter seguro?

• Certifique-se de que o banco de dados do seu software antivírus esteja atualizado e esteja protegendo seu sistema em tempo real e execute uma varredura.
• Se o malware: Trojan.Win64.EquationDrug.gen for detectado, verifique se ele é colocado em quarentena e excluído e reinicie o sistema.
• Se você ainda não o fez, é recomendável instalar o patch oficial da Microsoft - MS17-010 - que reduz a vulnerabilidade SMB que está sendo explorada no ataque.
• Você também pode desativar o SMB no seu computador usando este guia da Microsoft.
• As organizações podem isolar as portas de comunicação 137 e 138 do UDP e as portas 139 e 445 do TCP.

Sistemas baseados nos EUA foram protegidos acidentalmente

Um pesquisador de segurança britânico de 22 anos acidentalmente desligou o malware de se espalhar para redes nos EUA quando ele comprou o domínio kill switch do malware que ainda não havia sido registrado.

Assim que o site foi ao vivo, o ataque foi encerrado. Você pode ler seu relatório completo aqui sobre como ele revelou o kill switch para o malware e, eventualmente, desligá-lo.

Leia também: Esta falha crítica de segurança do Android permanece sem solução do Google.

“Já existe outra variante do ransomware que não possui um interruptor de eliminação, o que dificulta a sua contenção. Já começou a infectar países na Europa ”, disse Sharda Tickoo, responsável técnica da Trend Micro India.

Ainda não está claro quem é o responsável pelo ataque e as especulações apontaram para os Shadow Brokers - que também são responsáveis ​​por liberar o malware online - ou várias organizações de hackers.

Assista ao vídeo do GT Hindi para Wannacry / Wannacrypt Ransomware abaixo.