WannaCry: estão a salvo? | Kaspersky Lab sobre o ataque cibernético mundial

Há alguns dias atrás, vimos o início do surto de criptografia do Trojan WannaCry . Parece pandemia – uma epidemia global. Mais de 45.000 casos do ataque registados em apenas um dia, mas o número real é muito maior.

O que aconteceu?

Várias organizações relataram uma infecção simultaneamente. Entre eles estavam vários hospitais britânicos que tiveram que suspender as suas operações. De acordo com dados divulgados por terceiros, a WannaCry infectou mais de 200 mil computadores. O grande número de infecções é uma grande parte da razão que chamou tanta atenção.

O maior número de ataques ocorreu na Rússia, mas a Ucrânia, Índia e Taiwan sofreram muitos danos causados pelo WannaCry. Apenas no primeiro dia do ataque, o  WannaCry marcou presença em 74 países.

WannaCry: estão a salvo? | Kaspersky Lab sobre o ataque cibernético mundial image
O que é o WannaCry?

Geralmente, o WannaCry vem em duas partes. Primeiro, é um exploit cujos propósitos são infecção e propagação. A segunda parte é um criptografador que é executado num computador depois que de estar infectado.

A primeira parte é a principal diferença entre o WannaCry e a maioria dos criptografadores. Para infectar um computador com um codificador comum, um utilizador deve cometer um erro, por exemplo, clicar num link suspeito, permitindo que o Word execute uma macro mal-intencionada ou faça o download de um anexo suspeito a partir de uma mensagem de e-mail. Um sistema pode ser infectado com WannaCry sem que o utilizador faça nada.

WannaCry: Exploração e propagação

Os criadores do WannaCry aproveitaram o exploit do Windows conhecido como EternalBlue, que se baseia numa vulnerabilidade que a Microsoft corrigiu na atualização de segurança MS17-010, datada de 14 de março deste ano. Ao usar o exploit, os malfeitores poderiam obter acesso remoto a computadores e instalar o encryptor.

Se tiverem a atualização instalada, essa vulnerabilidade não existirá mais nesse equipamento e as tentativas de hackear o computador remotamente por meio da vulnerabilidade falharão. No entanto, os pesquisadores do GReAT (Global Research & Analysis Team) da Kaspersky Lab gostariam de enfatizar que a correção da vulnerabilidade não deterá completamente o criptografador. Portanto, se o executarem por engano, o patch não vos vai proteger.

Depois de hackear um computador com sucesso, o WannaCry tenta se espalhar pela rede local em outros computadores, à boa maneira de um worm de computador. O criptografador verifica outros computadores com a mesma vulnerabilidade que pode ser explorada com a ajuda do EternalBlue, e quando o WannaCry encontra uma máquina vulnerável, ele ataca a máquina e criptografa os arquivos nela.

Portanto, ao infectar um computador, o WannaCry pode infectar toda uma rede de área local e criptografar todos os computadores da rede. É por isso que as grandes empresas sofreram mais com o ataque WannaCry – quanto mais computadores na rede, maior o dano.

WannaCry: estão a salvo? | Kaspersky Lab sobre o ataque cibernético mundial image

WannaCry: Encryptor

Como um encryptor, WannaCry (chamado às vezes WCrypt ou WannaCry Decryptor) comporta-se como todo o outro encryptor; Ele criptografa arquivos num computador e exige um resgate para descriptografá-los. É mais parecido com uma variação do infame CryptXXX Trojan.

O WannaCry criptografa arquivos de vários tipos, incluindo documentos do Office, fotos, vídeos, arquivos e outros formatos de arquivo que potencialmente contêm dados críticos do utilizador. As extensões dos arquivos criptografados são renomeadas. WCRY, e os arquivos ficam completamente inacessíveis.

Depois disso, o Trojan altera o papel de parede da área de trabalho para uma imagem que contém informações sobre a infecção e ações que o utilizador deve executar para recuperar os arquivos. O WannaCry espalha notificações como arquivos de texto com as mesmas informações em pastas no computador para garantir que o utilizador recebe a mensagem.

Como de costume, as ações implicam a transferência de uma certa quantia de dinheiro, em bitcoins, para a carteira dos perpetradores. Depois disso, eles dizem, que irão descriptografar todos os arquivos. Inicialmente, os cibercriminosos exigiram US $ 300, mas depois aumentaram o valor para US $ 600.

Neste caso, os malfeitores também tentam intimidar as vítimas afirmando que o montante do resgate será aumentado a cada três dias – e, além disso, que após sete dias os arquivos serão impossíveis de decifrar.
Como sempre, não recomendamos pagar o resgate. Talvez a razão mais convincente para não ceder é que não há garantia de que os criminosos desencriptem os arquivos depois de receberem o resgate. De facto, os pesquisadores têm mostrado que outros cyberextortionists às vezes simplesmente apagam dados do utilizador.

Como um registo de domínio parou a infecção – mas provavelmente ainda não acabou

Interessante salientar que o registo de um domínio com um nome longo e absurdo, suspendeu o ataque.

Descobriu-se que algumas versões do WannaCry tentavam comunicar com um nome de domínio especifico e que caso houvesse resposta o ataque pararia.

Depois de encontrar a referência a este domínio no código do Trojan, um pesquisador registou o domínio, suspendendo assim o ataque. No restante do dia, o domínio foi endereçado dezenas de milhares de vezes, o que significa que dezenas de milhares de computadores foram poupados.

Há uma teoria de que esta funcionalidade foiincluída no WannaCry – como um interruptor- no caso de algo dar errado. Outra teoria, adotada pelo próprio pesquisador, é que é uma maneira de complicar a análise do comportamento do malware. Ambientes de teste usados ​​na pesquisa são muitas vezes projetados de forma que qualquer domínio retorne uma resposta positiva; Em tais casos, o cavalo de Tróia não faria nada no ambiente de teste.

Lamentavelmente, para novas versões deste cavalo de Tróia, tudo o que os criminosos têm que fazer é mudar o nome de domínio indicado como o “interruptor” e as infecções serão retomadas. Portanto, é muito provável que o surto WannaCry vá continuar.

Como se defender contra o WannaCry

Infelizmente, não há atualmente nenhuma maneira de decifrar arquivos que foram criptografados pelo WannaCry Por enquanto, a prevenção é a única esperança.

Aqui estão vários conselhos sobre como prevenir a infecção e minimizar os danos.

Se já tiverem uma solução de segurança Kaspersky Lab instalada no sistema, recomendamos fazer o seguinte:

Executar manualmente uma verificação para áreas críticas e se a solução detectar MEM: Trojan.Win64.EquationDrug.gen (é assim as soluções antivírus Detectam o WannaCry), removê-lo e reiniciar o sistema.

Instalar atualizações de software. Este caso pede desesperadamente que todos os utilizadores do Windows instalem a atualização de segurança do sistema MS17-010. A Microsoft até lançou a mesma para sistemas obsoletos, instalem agora; Isso é muito importante.
Criar backups de arquivos de forma regular e armazenar as cópias em dispositivos de armazenamento que não estão constantemente conectados ao computador. Se tivermos uma cópia de backup recente, então uma infecção de criptografia não é uma catástrofe; podemos passar algumas horas a reinstalara o sistema operativo e aplicações e de seguida, restaurar os arquivos e seguir em frente.

 

Fonte Kaspersky

Poderá gostar de: Mais do autor

Deixe uma resposta

Seu endereço de email não será publicado.