Mais notavelmente, a empresa espanhola de telecomunicações Telefonica foi vítima, assim como os hospitais em todo o Reino Unido. De acordo com o The Guardian, os ataques no Reino Unido atingiram pelo menos 16 instalações do Sistema Nacional de Saúde (NHS) e comprometeram diretamente os sistemas de tecnologia da informação (TI) utilizados para garantir a segurança dos pacientes.
Vídeos recomendados
Avast
O ransomware WanaCryptOR, ou WCry, é baseado em uma vulnerabilidade que foi identificada no protocolo Windows Server Message Block e foi corrigida em Patch de terça-feira de março de 2017 da Microsoft atualizações de segurança,
relata Kaspersky Labs. A primeira versão do WCry foi identificada em fevereiro e desde então foi traduzida para 28 idiomas diferentes.A Microsoft respondeu ao ataque com sua própria postagem no blog de Segurança do Windows, onde reforçou a mensagem de que os PCs com Windows atualmente com suporte e executando os patches de segurança mais recentes estão protegidos contra malware. Além disso, os Windows Defenders já haviam sido atualizados para oferecer proteção em tempo real.
“Em 12 de maio de 2017, detectamos um novo ransomware que se espalha como um worm, aproveitando vulnerabilidades que foram corrigidas anteriormente”, começava o resumo do ataque da Microsoft. “Embora as atualizações de segurança sejam aplicadas automaticamente na maioria dos computadores, alguns usuários e empresas podem atrasar a implantação de patches. Infelizmente, o malware, conhecido como WannaCrypt, parece ter afetado computadores que não aplicaram o patch para essas vulnerabilidades. Enquanto o ataque se desenrola, lembramos aos usuários que instalem o MS17-010, caso ainda não o tenham feito.”
A declaração continuou: “A telemetria antimalware da Microsoft captou imediatamente sinais desta campanha. Nossos sistemas especializados nos deram visibilidade e contexto sobre esse novo ataque conforme ele ocorreu, permitindo que o Windows Defender Antivirus fornecesse defesa em tempo real. Por meio de análise automatizada, aprendizado de máquina e modelagem preditiva, conseguimos nos proteger rapidamente contra esse malware.”
Avast especulou ainda que a exploração subjacente foi roubada do Equation Group, que é suspeito de estar ligado à NSA, por um grupo de hackers que se autodenomina ShadowBrokers. A exploração é conhecida como ETERNALBLUE e denominada MS17-010 pela Microsoft.
Quando o malware ataca, ele altera o nome dos arquivos afetados para incluir uma extensão “.WNCRY” e adiciona um “WANACRY!” marcador no início de cada arquivo. Ele também coloca a nota de resgate em um arquivo de texto na máquina da vítima:
Avast
Em seguida, o ransomware exibe sua mensagem de resgate que exige entre US$ 300 e US$ 600 em moeda bitcoin e fornece instruções sobre como pagar e depois recuperar os arquivos criptografados. A linguagem nas instruções de resgate é curiosamente casual e parece semelhante à que se pode ler numa oferta de compra de um produto online. Na verdade, os usuários têm três dias para pagar antes que o resgate seja duplicado e sete dias para pagar antes que os arquivos não sejam mais recuperáveis.
Avast
Curiosamente, o ataque foi retardado ou potencialmente interrompido por um “herói acidental”, simplesmente registrando um domínio da web que foi codificado no código do ransomware. Se esse domínio respondesse a uma solicitação do malware, ele pararia de infectar novos sistemas – agindo como uma espécie de “interruptor de eliminação” que os cibercriminosos poderiam usar para interromper o ataque.
Como O Guardião destaca, pesquisador, conhecido apenas como MalwareTech, registrou o domínio por US$ 10,69 e não sabia no momento do kill switch, dizendo: “Eu estava fora almoçando com um amigo e voltei por volta das 15h. e vi um fluxo de artigos de notícias sobre o NHS e várias organizações do Reino Unido sendo bater. Dei uma olhada nisso e encontrei uma amostra do malware por trás dele e vi que ele estava se conectando a um domínio específico, que não estava registrado. Então peguei sem saber o que fazia na época.”
A MalwareTech registrou o domínio em nome de sua empresa, que rastreia botnets, e a princípio eles foram acusados de iniciar o ataque. “Inicialmente, alguém havia relatado de forma errada que havíamos causado a infecção ao registrar o domínio, então eu tive que um mini surto até que percebi que na verdade era o contrário e tínhamos parado com isso”, disse MalwareTech ao The Guardião.
No entanto, isso provavelmente não será o fim do ataque, pois os invasores poderão alterar o código para omitir o kill switch. A única solução real é garantir que as máquinas estejam totalmente corrigidas e executando o software de proteção contra malware correto. Embora as máquinas Windows sejam os alvos deste ataque específico, MacOS demonstrou sua própria vulnerabilidade e, portanto, os usuários do sistema operacional da Apple também devem tomar as medidas apropriadas.
Em notícias muito mais positivas, parece agora que existe uma nova ferramenta que pode determinar a chave de criptografia usada pelo ransomware em algumas máquinas, permitindo aos usuários recuperar seus dados. A nova ferramenta, chamada Wanakiwi, é semelhante a outra ferramenta, Wannakey, mas oferece uma interface mais simples e pode potencialmente consertar máquinas que executam mais versões do Windows. Como Relatórios da Ars Technica, Wanakiwi usa alguns truques para recuperar os números primos usados na criação da chave de criptografia, basicamente extraindo esses números do BATER se a máquina infectada permanecer ligada e os dados ainda não tiverem sido substituídos. Wanawiki aproveita algumas “deficiências” na interface de programação de aplicativos criptográficos da Microsoft que foi usada pelo WannaCry e vários outros aplicativos para criar chaves de criptografia.
De acordo com Benjamin Delpy, que ajudou a desenvolver o Wanakiwi, a ferramenta foi testada em diversas máquinas com discos rígidos criptografados e conseguiu descriptografar várias delas. O Windows Server 2003 e o Windows 7 estavam entre as versões testadas, e Delpy presume que o Wanakiwi também funcionará com outras versões. Como diz Delpy, os usuários podem “basta baixar o Wanakiwi e, se a chave puder ser construída novamente, ele a extrai, a reconstrói (uma boa) e inicia a descriptografia de todos os arquivos no disco. Além disso, a chave que obtive pode ser usada com o descriptografador de malware para descriptografar arquivos como se você pagasse.”
A desvantagem é que nem o Wanakiwi nem o Wannakey funcionam se o PC infectado tiver sido reiniciado ou se o espaço de memória que contém os números primos já tiver sido substituído. Portanto, é definitivamente uma ferramenta que deve ser baixada e mantida à mão. Para maior tranquilidade, deve-se notar que a empresa de segurança Comae Technologies ajudou no desenvolvimento e teste do Wanakiwi e pode verificar sua eficácia.
Você pode baixe Wanakiwi aqui. Basta descompactar o aplicativo e executá-lo, e observe que o Windows 10 reclamará que o aplicativo é um programa desconhecido e você precisará clicar em “Mais informações” para permitir sua execução.
Mark Coppock/Tendências Digitais
O ransomware é um dos piores tipos de malware, pois ataca nossas informações e as bloqueia com criptografia forte, a menos que paguemos dinheiro ao invasor em troca de uma chave para desbloqueá-las. Há algo pessoal no ransomware que o diferencia dos ataques aleatórios de malware que transformam nossos PCs em bots sem rosto.
A melhor maneira de se proteger contra WCry é certificar-se de que seu PC com Windows esteja totalmente atualizado com as atualizações mais recentes. Se você segue a programação do Patch Tuesday da Microsoft e executa pelo menos o Windows Defender, suas máquinas já devem estar protegido – embora ter um backup offline dos seus arquivos mais importantes que não podem ser afetados por tal ataque seja um passo importante para pegar. No futuro, serão as milhares de máquinas que ainda não foram corrigidas que continuarão a sofrer com este ataque generalizado específico.
Atualizado em 19/05/2017 por Mark Coppock: Adicionadas informações sobre a ferramenta Wanakiwi.
Recomendações dos Editores
- Os ataques de ransomware aumentaram enormemente. Veja como se manter seguro
- Hackers estão marcando pontos com ransomware que ataca suas vítimas anteriores
