19 de maio de 2017 by integrasul

Wanna Cry?

Como vimos na última sexta-feira um ataque de ransomware em larga escala afetou diversos países ao redor do mundo. O WCry, WanaCrypt0r ou WannaCry, como é chamado, afetou cerca de 100 países, espalhou-se rapidamente pela Ásia e Europa e fechou diversos hospitais no Reino Unido. Como se não fosse suficiente, empresas de telefonia, faculdades, empresas de logística, bancos e diversos outros setores também foram afetados.
O WCry é o primeiro ransomware a fazer uma propagação em larga escala. Após um aviso inicial, o ransomware tenta executar o exploit conhecido como “
Eternal Blue”, que explora uma vulnerabilidade do Windows a qual foi corrigida em Março de 2017 pela atualização MS17-010 da Microsoft. Essa vulnerabilidade foi recentemente publicada pelo grupo Shadow Brokers, como parte de um grande vazamento de ferramentas de ataque cibernético desenvolvidas pela Agência de Segurança Nacional Americana (NSA). O WCry tem a capacidade de se propagar através da porta tcp 445, usada para compartilhamento de arquivos no Windows, assumindo o comportamento de um Worm e comprometendo assim outros hosts. Após a infecção arquivos são criptografados e é solicitado um pagamento de US$300 a US$500 (dólares americanos) em bitcoins.
Abaixo um vídeo de demonstração do tempo de propagação do ransomware sem nenhuma interação humana.

https://www.youtube.com/watch?v=K8DJCqSPmdI

Conforme podemos ver no vídeo a propagação é muito rápida. Desde as primeiras notificações sobre os ataques até o momento, mais de 200.000 PCs Windows foram comprometidos.
O que é mais interessante neste ransomware é que os atacantes do WannaCry estão aproveitando o exploit da NSA para sua propagação. Quando a NSA perdeu o controle do exploit por trás do ciberataque do WannaCry o
presidente da Microsoft Brad Smith disse: O cenário equivalente com armas convencionais seria se as Forças Armadas Americanas tivessem alguns dos seus mísseis Tomahawk roubados. Também disse que este ataque mais recente representa uma ligação completamente não intencional, mas desconcertante, entre as duas formas mais graves de ameaças à segurança cibernética no mundo de hoje – ação do Estado-nação e ação criminosa organizada.

Bem, mas eu fui infectado e agora?

Neste caso não há muito o que possa ser feito, mas, NUNCA PAGUE O RESGATE, pagar não é a garantia de recuperação dos seus dados. De acordo com a pesquisa da Trend Micro, quase 33% das empresas que pagam o resgate não conseguem recuperar seus dados. Os hackers podem simplesmente restaurar seus dados parcialmente e pedir mais dinheiro para recuperar o resto. Pagar o resgate encoraja os ciber criminosos a criar ameaças similares. Neste caso, prepare seus sistemas de recuperação.
As formas mais comuns destes vírus serem propagados é através de e-mails de phishing/spam ou links maliciosos. Dessa forma, vamos elencar alguns pontos para ajudá-lo a se proteger contra esses tipos de ataques.

  • Sempre instale atualizações de segurança: Elas estão ali por algum motivo, tenha certeza de sempre receber as atualizações automaticamente, caso não queira, tire um tempo ao menos uma vez na semana para verificar se não há novas atualizações disponíveis para a versão do seu S. O.

  • Tenha um bom antivírus: Atualmente, se você não é usuário Linux (que também possui ameças), não tem como se proteger sem um bom antivírus. Se não quiser ter um pago, sem problemas, mas ao menos mantenha o antivírus atualizado. Digo isso pois a maioria dos antivírus “FREE” necessitam das descobertas das ameaças por outras empresas para terem a vacina, pois como os recursos são limitados, a pesquisa por novas ameaças também será. Se suas informações realmente tiverem algum valor para você, vale a pena investir em uma proteção adequada.

  • Tenha um backup dos seus dados: Pen drive, HD externo, nuvem, CD…, não importa, mas tenha. Além disso, nunca deixe seu backup no computador. Em um caso de ransomware, se seu backup estiver em um HD externo plugado no computador infectado ele não irá servir de nada, pois você também irá perdê-lo. É importante também ter uma rotina de testes de restauração dos seus arquivos. De nada irá adiantar ter um backup e quando precisar os dados não estarem íntegros.

  • Tome cuidado com e-mails suspeitos, sites e aplicativos: Esta, creio que seja a parte mais difícil. Assim como o WCry, a maioria das propagações de ransomware e vírus acontecem através de phishings, sites maliciosos e aplicativos de terceiros. Sendo assim, tenha sempre cuidado ao abrir documentos recebidos por e-mail, verifique sempre a origem e em caso de desconfiança, faça uma varredura no arquivo antes de abri-lo. Caso desconheça, não abra, pois por mais intrigante que seja, poderá custar seus dados. Cuide com os cliques em avisos de sites, ninguém ganha R$10.000,00 com apenas um clique na internet. Além disso, nunca baixe aplicativos de fontes desconhecidas, procure sempre o site do desenvolvedor/fabricante, leia comentários e reviews antes mesmo de instalar aplicativos de lojas oficiais.

  • Mantenha-se informado: Assim como WCry mudou a forma de propagação dos ransomwares, outros irão também. Estar bem informado quanto a novas ameaças irá ajudar-lhe a entender e a proteger-se de futuras infecções.

Autor: Anderson de Godoy – Analista de Suporte Integrasul

Deixe uma resposta

Your email address will not be published / Required fields are marked *