Explicando o Ransomware WannaCry/Wcry
O que é Ransomware WannaCry/Wcry?
No último dia 12 de maio de 2017, um ransomware, chamado Wannacry/Wcry ou, como a Microsoft nomeou, Win32/WannaCrypt, se espalhou e infectou máquinas de grandes empresas privadas e instituições públicas em mais de 70 países.
Esse ransomware - que suporta 28 idiomas e criptografa 179 tipos diferentes de arquivos - obtém as informações das vítimas, as criptografa e exige o pagamento de um resgate para que as pessoas possam recuperá-lo. O valor deve ser pago na “criptomoeda” bitcoin (saiba o que é aqui) e gira em torno de US$ 300,00a US$ 600,00. Apenas mediante o pagamento é que, em teoria, as vítimas poderão descriptografar o conteúdo de suas máquinas.
Quando surgiu o Ramsomware WannaCry?
Em agosto de 2016, um grupo hacker realizou o vazamento de arquivos contendo ferramentas ofensivas pertencentes à NSA (National Security Agency). Dentre estes arquivos e ferramentas vazadas, estava um exploit remoto que explorava uma falha do SMB (Server Message Block) no Windows, chamada de EternalBlue.
Esse princípio foi o que deu origem ao ransomware Wannacry. Ele utiliza especificamente a vulnerabilidade presente no SMBv1 do sistema operacional Windows.
A vulnerabilidade chegou a receber um patch de correção fornecido pela própria Microsoft (MS17-010) em março de 2017.
Como o WannaCry se espalha?
Após infectar a vítima, o ransomware procura por outras máquinas em uma rede local ou na Internet, e usa o protocolo SMB para infectá-las.
Para continuar propagando seus códigos maliciosos, ele usa um gerador de números aleatórios para criar endereços IP’s randômicos, testá-los e infectá-los.
O Wannacry/Wcry se espalhou rapidamente pelo mundo, pois o mesmo comporta-se como um “worm”, infectando novas vítimas automaticamente, sem a necessidade de interação de um usuário final. Após a infecção, procura computadores vulneráveis na rede e utiliza um exploit para infectar sua nova vítima.
Abaixo é possível verificar o modus operandi e fluxo de execução do WannaCry:
O ransomware afeta os seguintes sistemas operacionais Windows:
- Microsoft Windows Vista SP2
- Windows Server 2008 SP2 e R2 SP1
- Windows 7
- Windows 8.1
- Windows RT 8.1
- Windows Server 2012 e R2
- Windows 10
- Windows Server 2016
O Wcry criptografa os seguintes arquivos na máquina infectada:
.jpeg , .rb , .602 , .jpg , .rtf , .doc , .js , .sch , .3dm , .jsp , .sh , .3ds , .key , .sldm , .3g2 , .lay , .sldm , .3gp , .lay6 , .sldx , .7z , .ldf , .slk , .accdb , .m3u , .sln , .aes , .m4u , .snt , .ai , .max , .sql , .ARC , .mdb , .sqlite3 , .asc , .mdf , .sqlitedb , .asf , .mid , .stc , .asm , .mkv , .std , .asp , .mml , .sti , .avi , .mov , .stw , .backup , .mp3 , .suo , .bak , .mp4 , .svg , .bat , .mpeg , .swf , .bmp , .mpg , .sxc , .brd , .msg , .sxd , .bz2 , .myd , .sxi , .c , .myi , .sxm , .cgm , .nef , .sxw , .class , .odb , .tar , .cmd , .odg , .tbk , .cpp , .odp , .tgz , .crt , .ods , .tif , .cs , .odt , .tiff , .csr , .onetoc2 , .txt , .csv , .ost , .uop , .db , .otg , .uot , .dbf , .otp , .vb , .dch , .ots , .vbs , .der” , .ott , .vcd , .dif , .p12 , .vdi , .dip , .PAQ , .vmdk , .djvu , .pas , .vmx , .docb , .pdf , .vob , .docm , .pem , .vsd , .docx , .pfx , .vsdx , .dot , .php , .wav , .dotm , .pl , .wb2 , .dotx , .png , .wk1 , .dwg , .pot , .wks , .edb , .potm , .wma , .eml , .potx , .wmv , .fla , .ppam , .xlc , .flv , .pps , .xlm , .frm , .ppsm , .xls , .gif , .ppsx , .xlsb , .gpg , .ppt , .xlsm , .gz , .pptm , .xlsx , .h , .pptx , .xlt , .hwp , .ps1 , .xltm , .ibd , .psd , .xltx , .iso , .pst , .xlw , .jar , .rar , .zip , .java , .raw
Recomendações:
É importantíssimo que todos os usuários que possuam plataformas baseadas em Windows atualizem seus ambientes (especialmente aplicando a correção MS17-010).
O antivírus deverá estar atualizado e não permitir a criação das seguintes extensões:
00000000.eky,00000000.pky, 00000000.res, @Please_Read_Me@.txt, @WanaDecryptor@.exe, b.wnry, c.wnry, f.wnry, r.wnry, s.wnry, t.wnry, u.wnry.
Por existirem outros vetores de infecção para que ransomwares possam atuar, aconselhamos que não sejam abertos e-mails e anexos que pareçam suspeitos.
A disseminação desmedida do Wcry nos lembra a importância de manter os sistemas sempre atualizados, aplicando patches de segurança e realizando verificações constantes nas infraestruturas internas. Além disso, ressalta a necessidade, cada vez maior, de se investir em segurança da informação.
[Atualização 19/05/2017]
Foi desenvolvida uma ferramenta chamada "WanaKiwi", que simplifica todo o processo de decodificação de arquivos infectados com WannaCry.
Embora a ferramenta não funcione para todos os usuários devido a suas dependências, pelo menos ele dá alguma esperança para as vítimas de WannaCry de obter seus arquivos criptografados de volta gratuitamente, mesmo do Windows XP. O WanaKiwi também funciona nos sistemas Windows 7, Windows Vista, Windows Server 2003 e 2008
Todas as pessoas infectadas têm que fazer o download da ferramenta WanaKiwi do Github e executá-lo em seu computador Windows afetado pelo WannaCry usando a linha de comando (cmd).
WanaKiwi tool
https://github.com/gentilkiwi/wanakiwi/releases
Referências:
https://nakedsecurity.sophos.com/2017/05/15/wannacry-heres-what-we-know-now-about-the-outbreak/
https://blog.comae.io/wannacry-the-largest-ransom-ware-infection-in-history-f37da8e30a58
https://latesthackingnews.com/2017/05/13/protect-your-self-against-wannacry-ransomware/
http://thehackernews.com/2017/05/how-to-wannacry-ransomware.html
http://thehackernews.com/2017/05/wannacry-ransomware-unlock.html
http://anchisesbr.blogspot.com.br/2017/05/seguranca-perguntas-e-respostas-faq.html
https://blog.comae.io/wannacry-decrypting-files-with-wanakiwi-demo-86bafb81112d
0 comentários: