Semana passada, começou o surto do ransomware WannaCry. A Kaspersky detectou mais de 45 mil casos em apenas um dia, mas o número verdadeiro é muito maior.
O que aconteceu?
Várias grandes organizações relataram infecções simultâneas. Entre elas, vários hospitais britânicos tiveram de suspender suas operações. De acordo com dados divulgados por terceiros, o WannaCry infectou mais de 200 mil computadores.
O que é WannaCry?
Geralmente, esse ransomware vem em duas partes. Primeiro, um exploit cujos propósitos são infecção e propagação. A segunda parte é um criptografador baixado para o computador depois que foi infectado.
A primeira parte é a principal diferença entre o WannaCry e a maioria dos vírus criptografadores. Para infectar um computador com um codificador comum, um usuário deve cometer um erro (por exemplo, clicando em um link suspeito), permitindo que o Word execute uma macro mal-intencionada ou faça o download de um anexo suspeito a partir de uma mensagem de e-mail. No entanto, um sistema pode ser infectado com o WannaCry sem que o usuário faça nada – aproveitando uma falha do Windows.
WannaCry: Exploração e propagação
Os criadores do WannaCry aproveitaram o exploit do Windows conhecido como EternalBlue, baseado em uma vulnerabilidade que a Microsoft corrigiu na atualização MS17-010, de 14 de março. Ao usar o exploit, os hackers podem obter acesso remoto a computadores e instalar o encryptor.
Se você tiver esse patch instalad, essa vulnerabilidade não existirá mais e essas tentativas de hackear o computador remotamente falharão. No entanto, os pesquisadores do GReAT (Global Research & Analysis Team) da Kaspersky gostariam de enfatizar que a correção da vulnerabilidade não detém completamente o criptografador. Portanto, se você executar o código de alguma forma (ver o acima em cometer um erro), então esse patch não adianta.
Depois de hackear um computador com sucesso, o WannaCry tenta se espalhar pela rede local em outros computadores, tal como um worm de computador. O criptografador verifica se outros computadores na rede possuem a mesma falha, e quando o ransomware encontra uma máquina vulnerável, ataca a máquina e criptografa os arquivos.
Portanto, ao infectar um computador, o WannaCry pode infectar toda uma rede local. É por isso que as grandes empresas sofreram mais – quanto mais computadores na rede, maior o dano.
Não seja vítima do #WannaCry. A Kaspersky oferece uma ferramenta gratuita de proteção contra #ransomware: https://t.co/rHPTzQgmtk pic.twitter.com/0xXafqS8Hf
— Kaspersky Brasil (@Kasperskybrasil) May 15, 2017
WannaCry: Encryptor
O WannaCry comporta-se como qualquer outro malware do tipo: criptografa arquivos e exige resgate. É mais parecido com uma variação do infame Trojan CryptXXX.
O WannaCry codifica arquivos de vários tipos (lista completa), incluindo documentos do Office, fotos, vídeos, arquivos e outros formatos de arquivo que potencialmente contém dados críticos do usuário. As extensões dos arquivos criptografados são renomeadas. WCRY, e os arquivos ficam completamente inacessíveis.
Depois disso, o Trojan altera o papel de parede da área de trabalho para uma imagem que contém informações sobre a infecção e ações que o usuário deve executar para recuperar os arquivos. Ele também espalha notificações, como arquivos de texto com as mesmas informações, em pastas no computador para garantir que o usuário receba a mensagem.
Como de costume, as ações implicam a transferência de uma certa quantia de dinheiro, em bitcoins, para a carteira dos hackers. Depois disso, dizem, vão descriptografar todos os arquivos. Inicialmente, os cibercriminosos exigiram US$ 300, mas depois aumentaram para US$ 600.
Neste caso, os malfeitores também tentam intimidar as vítimas afirmando que o resgate será aumentado em três dias – e, além disso, que após sete dias os arquivos serão impossíveis de decifrar.
Como sempre, recomendamos não pagar o resgate. A razão mais convincente é que não há garantia de que os criminosos desencriptem seus arquivos depois. De fato, os pesquisadores têm mostrado que outros cibercriminosos às vezes simplesmente apagam os dados do usuário.
Como se defender contra o WannaCry
Infelizmente, não há atualmente nenhuma maneira de decifrar arquivos que foram criptografados pelo malware (no entanto, nossos pesquisadores estão trabalhando nisso). Por enquanto, a prevenção é a única esperança.
Aqui estão vários conselhos sobre como prevenir a infecção e minimizar os danos.
-
- Se você já tiver uma solução de segurança Kaspersky Lab, recomendamos fazer o seguinte: Executar manualmente uma verificação para áreas críticas e se a solução detectar MEM: Trojan.Win64.EquationDrug.gen (é assim que nossas soluções detectam o WannaCry), removê-lo e reiniciar o sistema.
- Se você é um usuário Kaspersky, mantenha o System Watcher (Inspetor do Sistema) ativado. É essencial combater qualquer variante do malware que possa surgir.
- Instale atualizações de software. Este caso pede desesperadamente que todos os usuários do Windows instalem a atualização de segurança MS17-010. A Microsoft até mesmo a lançou para sistemas que não são mais oficialmente suportados, como o Windows XP e Windows 2003.
- Crie backups e armazene as cópias em dispositivos que não estão constantemente conectados ao computador. Se você tiver uma cópia de backup recente, uma infecção de criptografia não é uma catástrofe. Você pode passar algumas horas reinstalando o sistema operacional e aplicativos, e, em seguida, restaurar seus arquivos e seguir em frente.
- Se você estiver ocupado demais para lidar com um backup, aproveite o recurso de backup integrado ao Kaspersky Total Security, que pode automatizar o processo.
Use um antivírus confiável. O Kaspersky Internet Security pode detectar o WannaCry tanto localmente como durante tentativas de espalhar por uma rede. Além disso, o System Watcher, um módulo embutido, pode reverter quaisquer alterações indesejadas, o que significa que impedirá a criptografia de arquivos mesmo para as versões de malware que ainda não estão em bancos de dados antivírus.