Android Geek
O maior site de Android em Português

WannaCry: estão a salvo? | Kaspersky Lab sobre o ataque cibernético mundial

Há alguns dias atrás, vimos o início do surto de criptografia do Trojan WannaCry . Parece pandemia - uma epidemia global. Mais de 45.000 casos do ataque registados em apenas um dia, mas o número real é muito maior.

O que aconteceu?

Várias organizações relataram uma infecção simultaneamente. Entre eles estavam vários hospitais britânicos que tiveram que suspender as suas operações. De acordo com dados divulgados por terceiros, a WannaCry infectou mais de 200 mil computadores. O grande número de infecções é uma grande parte da razão que chamou tanta atenção.

O maior número de ataques ocorreu na Rússia, mas a Ucrânia, Índia e Taiwan sofreram muitos danos causados pelo WannaCry. Apenas no primeiro dia do ataque, o  WannaCry marcou presença em 74 países.


O que é o WannaCry?

Geralmente, o WannaCry vem em duas partes. Primeiro, é um exploit cujos propósitos são infecção e propagação. A segunda parte é um criptografador que é executado num computador depois que de estar infectado.

A primeira parte é a principal diferença entre o WannaCry e a maioria dos criptografadores. Para infectar um computador com um codificador comum, um utilizador deve cometer um erro, por exemplo, clicar num link suspeito, permitindo que o Word execute uma macro mal-intencionada ou faça o download de um anexo suspeito a partir de uma mensagem de e-mail. Um sistema pode ser infectado com WannaCry sem que o utilizador faça nada.

WannaCry: Exploração e propagação

Os criadores do WannaCry aproveitaram o exploit do Windows conhecido como EternalBlue, que se baseia numa vulnerabilidade que a Microsoft corrigiu na atualização de segurança MS17-010, datada de 14 de março deste ano. Ao usar o exploit, os malfeitores poderiam obter acesso remoto a computadores e instalar o encryptor.

Se tiverem a atualização instalada, essa vulnerabilidade não existirá mais nesse equipamento e as tentativas de hackear o computador remotamente por meio da vulnerabilidade falharão. No entanto, os pesquisadores do GReAT (Global Research & Analysis Team) da Kaspersky Lab gostariam de enfatizar que a correção da vulnerabilidade não deterá completamente o criptografador. Portanto, se o executarem por engano, o patch não vos vai proteger.

Depois de hackear um computador com sucesso, o WannaCry tenta se espalhar pela rede local em outros computadores, à boa maneira de um worm de computador. O criptografador verifica outros computadores com a mesma vulnerabilidade que pode ser explorada com a ajuda do EternalBlue, e quando o WannaCry encontra uma máquina vulnerável, ele ataca a máquina e criptografa os arquivos nela.

Portanto, ao infectar um computador, o WannaCry pode infectar toda uma rede de área local e criptografar todos os computadores da rede. É por isso que as grandes empresas sofreram mais com o ataque WannaCry - quanto mais computadores na rede, maior o dano.

WannaCry: Encryptor

Como um encryptor, WannaCry (chamado às vezes WCrypt ou WannaCry Decryptor) comporta-se como todo o outro encryptor; Ele criptografa arquivos num computador e exige um resgate para descriptografá-los. É mais parecido com uma variação do infame CryptXXX Trojan.

O WannaCry criptografa arquivos de vários tipos, incluindo documentos do Office, fotos, vídeos, arquivos e outros formatos de arquivo que potencialmente contêm dados críticos do utilizador. As extensões dos arquivos criptografados são renomeadas. WCRY, e os arquivos ficam completamente inacessíveis.

Depois disso, o Trojan altera o papel de parede da área de trabalho para uma imagem que contém informações sobre a infecção e ações que o utilizador deve executar para recuperar os arquivos. O WannaCry espalha notificações como arquivos de texto com as mesmas informações em pastas no computador para garantir que o utilizador recebe a mensagem.

Como de costume, as ações implicam a transferência de uma certa quantia de dinheiro, em