Surto massivo de Ransomware WannaCrypt0r: o que você precisa saber - Blog - mcpbrasil

Surto massivo de Ransomware WannaCrypt0r: o que você precisa saber

Proteja-se contra WannaCrypt0r

O maior ataque de ransomware da história até hoje foi lançado no último dia 12/05 e infectou mais de 114.000 computadores com sistemas operacionais Windows em todo o mundo nas primeiras 24 horas. O WannaCrypt0r, ou WannaCrypt, é um novo ransomware que se espalha como um worm, se aproveitando de uma vulnerabilidade do Windows SMB (MS17-010) previamente corrigida pela Microsoft em março.


As infecções bem-sucedidas do WannaCrypt0r ocorreram um ritmo surpreendente e indica que um número significativo de computadores estavam atualizados com o patch de segurança lançado em março (MS17-010).

"O código de exploit utilizado pelo WannaCrypt0r foi concebido para funcionar apenas em sistemas Windows 7 e Windows Server 2008 e sistemas operacionais mais antigos sem patch, por isso, computadores com oWindows 10 não são afectados por este ataque", afirma a Microsoft.
Quando um computador é infectado, o WannaCrypt0r criptografa os arquivos presentes no computador e exige que as vítimas paguem USD 300,00 em Bitcoins para recuperar o controle de seus sistemas, juntamente com uma ameaça de dobrar o preço. Mas não há nenhuma garantia de obter os arquivos de volta, mesmo depois de pagar o resgate.

Como o WannaCrypt0r está se espalhando?

As infecções ransomware normalmente são espalhadas por meio de engenharia social ou por meio de mensagens de correio eletrônico que induzem o usuário a executar um arquivo anexo malicioso. Uma vez executado, o WannaCypt0r se espalha automaticamente pela rede em outros computadores que não estejam protegidos.


Especialistas em segurança realizaram engenharia reversa no malware e descobriram que logo após a infecção, ele tenta conectar-se ao domínio hxxp://www[.]iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea[.]com. Se a conexão com o domínio falhar, o processo de infeção com o ransomware inicia a criptografia de arquivos. Caso a conexão seja bem-sucedida, o sistema não é infectado com o ransomware.

Ainda no primeiro dia do ataque, o domínio foi registrado por pesquisadores de segurança. Isso acabou por impedir a propagação do WannaCrypt0r, pelo menos por enquanto.

Os pesquisadores, que postam informações no twitter como Malware Tech,  registraram o domínio gastando apenas £ 10,00.
Se infectado, o malware varre toda a rede interna e se espalhou como um worm em todos os computadores Windows não corrigidos com a ajuda da vulnerabilidade SMB.

A vulnerabilidade do SMB foi identificada como EternalBlue , uma coleção de ferramentas de hacking supostamente criada pela NSA e posteriormente despejada por um grupo de hackers chamado " The Shadow Brokers " há mais de um mês.

Mais de 114.000 infecções detectadas em 99 países em menos de 24 horas

WannaCrypt0r Ransomware ataque tornou-se a maior infecção ransomware na história. Algumas das maiores corporações do mundo foram afetadas. O Serviço Nacional de Saúde (NHS), que foi forçado a rejeitar pacientes, cancelar operações e remarcar compromissos devido à infecção por malware. A gigante espanhola de telecomunicações Telefónica foi impactada em alguns de seus computadores em uma rede interna. Serviços a clientes não foram afetados. Outras empresas de grande porte como a Portugal Telecom, MegaFon da Rússia e a FedEx também foram vítimas.
No Brasil, sistemas do Tribunal Superior de Justiça e do Ministério Público de São Paulo foram afetados.

3 passos básicos proteger seu ambiente de rede

Atualmente, não há um ferramenta que consiga decriptografar os arquivos afetados pelo ransomware. Para corrigir o problema em um sistema afetado, a única solução é restaurar um backup dos arquivos afetados. 
No caso do WannaCrypt0r e todos os outros ataques desse tipo, a melhor opção é a prevenção. Siga esses passos para se proteger:
  • Mantenha os sistemas e software antivírus atualizados. Você pode utilizar ferramentas como o System Center Configuration Manager para distribuir e gerenciar a distribuição de patches no ambiente.
  • Faça backups regulares dos arquivos. Uma outra estratégia é utilizar sistemas como o Sharepoint e o One Drive for Business, que mantém os arquivos na nuvem sincronizados com o computador do usuário.
  • Instrua usuário sobre as técnicas de engenharia reversa como o phishing

 

Compartilhe esse artigo:
comments powered by Disqus