Android Geek
O maior site de Android em Português

WannaCry: estão a salvo? | Kaspersky Lab sobre o ataque cibernético mundial

Há alguns dias atrás, vimos o início do surto de criptografia do Trojan WannaCry . Parece pandemia - uma epidemia global. Mais de 45.000 casos do ataque registados em apenas um dia, mas o número real é muito maior.

O que aconteceu?

Várias organizações relataram uma infecção simultaneamente. Entre eles estavam vários hospitais britânicos que tiveram que suspender as suas operações. De acordo com dados divulgados por terceiros, a WannaCry infectou mais de 200 mil computadores. O grande número de infecções é uma grande parte da razão que chamou tanta atenção.

O maior número de ataques ocorreu na Rússia, mas a Ucrânia, Índia e Taiwan sofreram muitos danos causados pelo WannaCry. Apenas no primeiro dia do ataque, o  WannaCry marcou presença em 74 países.

WannaCry: estão a salvo? | Kaspersky Lab sobre o ataque cibernético mundial 1
O que é o WannaCry?

Geralmente, o WannaCry vem em duas partes. Primeiro, é um exploit cujos propósitos são infecção e propagação. A segunda parte é um criptografador que é executado num computador depois que de estar infectado.

A primeira parte é a principal diferença entre o WannaCry e a maioria dos criptografadores. Para infectar um computador com um codificador comum, um utilizador deve cometer um erro, por exemplo, clicar num link suspeito, permitindo que o Word execute uma macro mal-intencionada ou faça o download de um anexo suspeito a partir de uma mensagem de e-mail. Um sistema pode ser infectado com WannaCry sem que o utilizador faça nada.

WannaCry: Exploração e propagação

Os criadores do WannaCry aproveitaram o exploit do Windows conhecido como EternalBlue, que se baseia numa vulnerabilidade que a Microsoft corrigiu na atualização de segurança MS17-010, datada de 14 de março deste ano. Ao usar o exploit, os malfeitores poderiam obter acesso remoto a computadores e instalar o encryptor.

Se tiverem a atualização instalada, essa vulnerabilidade não existirá mais nesse equipamento e as tentativas de hackear o computador remotamente por meio da vulnerabilidade falharão. No entanto, os pesquisadores do GReAT (Global Research & Analysis Team) da Kaspersky Lab gostariam de enfatizar que a correção da vulnerabilidade não deterá completamente o criptografador. Portanto, se o executarem por engano, o patch não vos vai proteger.

Depois de hackear um computador com sucesso, o WannaCry tenta se espalhar pela rede local em outros computadores, à boa maneira de um worm de computador. O criptografador verifica outros computadores com a mesma vulnerabilidade que pode ser explorada com a ajuda do EternalBlue, e quando o WannaCry encontra uma máquina vulnerável, ele ataca a máquina e criptografa os arquivos nela.

Portanto, ao infectar um computador, o WannaCry pode infectar toda uma rede de área local e criptografar todos os computadores da rede. É por isso que as grandes empresas sofreram mais com o ataque WannaCry - quanto mais computadores na rede, maior o dano.

WannaCry: estão a salvo? | Kaspersky Lab sobre o ataque cibernético mundial 2

WannaCry: Encryptor

Como um encryptor, WannaCry (chamado às vezes WCrypt ou WannaCry Decryptor) comporta-se como todo o outro encryptor; Ele criptografa arquivos num computador e exige um resgate para descriptografá-los. É mais parecido com uma variação do infame CryptXXX Trojan.

O WannaCry criptografa arquivos de vários tipos, incluindo documentos do Office, fotos, vídeos, arquivos e outros formatos de arquivo que potencialmente contêm dados críticos do utilizador. As extensões dos arquivos criptografados são renomeadas. WCRY, e os arquivos ficam completamente inacessíveis.

Depois disso, o Trojan altera o papel de parede da área de trabalho para uma imagem que contém informações sobre a infecção e ações que o utilizador deve executar para recuperar os arquivos. O WannaCry espalha notificações como arquivos de texto com as mesmas informações em pastas no computador para garantir que o utilizador recebe a mensagem.

Como de costume, as ações implicam a transferência de uma certa quantia de dinheiro, em bitcoins, para a carteira dos perpetradores. Depois disso, eles dizem, que irão descriptografar todos os arquivos. Inicialmente, os cibercriminosos exigiram US $ 300, mas depois aumentaram o valor para US $ 600.

Neste caso, os malfeitores também tentam intimidar as vítimas afirmando que o montante do resgate será aumentado a cada três dias - e, além disso, que após sete dias os arquivos serão impossíveis de decifrar.
Como sempre, não recomendamos pagar o resgate. Talvez a razão mais convincente para não ceder é que não há garantia de que os criminosos desencriptem os arquivos depois de receberem o resgate. De facto, os pesquisadores têm mostrado que outros cyberextortionists às vezes simplesmente apagam dados do utilizador.

Como um registo de domínio parou a infecção - mas provavelmente ainda não acabou

Interessante salientar que o registo de um domínio com um nome longo e absurdo, suspendeu o ataque.

Descobriu-se que algumas versões do WannaCry tentavam comunicar com um nome de domínio especifico e que caso houvesse resposta o ataque pararia.

Depois de encontrar a referência a este domínio no código do Trojan, um pesquisador registou o domínio, suspendendo assim o ataque. No restante do dia, o domínio foi endereçado dezenas de milhares de vezes, o que significa que dezenas de milhares de computadores foram poupados.

Há uma teoria de que esta funcionalidade foiincluída no WannaCry - como um interruptor- no caso de algo dar errado. Outra teoria, adotada pelo próprio pesquisador, é que é uma maneira de complicar a análise do comportamento do malware. Ambientes de teste usados ​​na pesquisa são muitas vezes projetados de forma que qualquer domínio retorne uma resposta positiva; Em tais casos, o cavalo de Tróia não faria nada no ambiente de teste.

Lamentavelmente, para novas versões deste cavalo de Tróia, tudo o que os criminosos têm que fazer é mudar o nome de domínio indicado como o "interruptor" e as infecções serão retomadas. Portanto, é muito provável que o surto WannaCry vá continuar.

Como se defender contra o WannaCry

Infelizmente, não há atualmente nenhuma maneira de decifrar arquivos que foram criptografados pelo WannaCry Por enquanto, a prevenção é a única esperança.

Aqui estão vários conselhos sobre como prevenir a infecção e minimizar os danos.

Se já tiverem uma solução de segurança Kaspersky Lab instalada no sistema, recomendamos fazer o seguinte:

Executar manualmente uma verificação para áreas críticas e se a solução detectar MEM: Trojan.Win64.EquationDrug.gen (é assim as soluções antivírus Detectam o WannaCry), removê-lo e reiniciar o sistema.

Instalar atualizações de software. Este caso pede desesperadamente que todos os utilizadores do Windows instalem a atualização de segurança do sistema MS17-010. A Microsoft até lançou a mesma para sistemas obsoletos, instalem agora; Isso é muito importante.
Criar backups de arquivos de forma regular e armazenar as cópias em dispositivos de armazenamento que não estão constantemente conectados ao computador. Se tivermos uma cópia de backup recente, então uma infecção de criptografia não é uma catástrofe; podemos passar algumas horas a reinstalara o sistema operativo e aplicações e de seguida, restaurar os arquivos e seguir em frente.

 

Gostaram? Podia ter sido melhor?
Partilhem com os vossos amigos e ajudem este projecto em Português.

Obrigado pela visita!

Este Website usa cookies para providenciar uma melhor experiência. Pode recusar se desejar. Aceitar Saber Mais

Gostaram? Podia ter sido melhor?
Partilhem com os vossos amigos e ajudem este projecto em Português.

Obrigado pela visita!
close-link