Na esteira do maior ataque de ransomware na história que já havia infectado mais de 114.000 sistemas Windows em todo o mundo desde as últimas 24 horas, a Microsoft tomou um passo incomum para proteger seus clientes com computadores desatualizados.
A Microsoft acaba de lançar uma atualização de segurança de emergência para todas as versões sem suporte do Windows, incluindo Windows XP, Vista, Windows 8, Server 2003 e 2008.
Assim, se a sua organização, por algum motivo, ainda estiver executando o Windows XP ou Vista, é altamente recomendável fazer o download e APLICAR O PATCH AGORA!
WannaCrypt, ou WannaCry, é um novo ransomware que causou estragos em todo o mundo ontem à noite, que se espalha como um worm, alavancando uma vulnerabilidade do Windows SMB (MS17-010) previamente fixada pela Microsoft em março e noticiado aqui no nosso blog.
Um grande número de infecções bem-sucedidas do ransomware do WannaCry em um ritmo surpreendente conclui que um número significativo de usuários ainda não instalaram o patch de segurança lançado em março (MS17-010) ou ainda estão executando uma versão não suportada do Windows para a qual a Microsoft não está liberando mais nenhuma atualização de segurança, contudo se você estiver usando o Windows 10, você está no lado seguro da situação.
"O código de exploração utilizado pelo WannaCrypt foi concebido para funcionar apenas contra sistemas Windows 7 e Windows Server 2008 (ou sistemas operativos anteriores) sem patch, os PCs com Windows 10 e versões mais recentes do Windows Server não são afetados por este ataque", afirma a Microsoft.”
Uma vez infectado, o WannaCry bloqueia arquivos nos computadores e exige que as vítimas paguem US$ 300 Bitcoins para recuperar o controle de seus sistemas, juntamente com uma ameaça de dobrar o preço para US$ 600.
Mas não há nenhuma garantia de obter seus arquivos de volta, mesmo depois de pagar o resgate.
Como é WannaCry Spreading?
Tal infecção ransomware tipicamente alavanca engenharia social ou spam, e-mails como um vetor de ataque primário, enganando os usuários para baixar e executar um anexo malicioso.
WannaCry também está aproveitando desses truques de engenharia social. Pesquisadores da FoxIT descobriram uma variante do ransomware que é inicialmente distribuído através de um e-mail contendo um link ou um arquivo PDF com carga útil, que se clicado, instala WannaCry no sistema alvo.
Uma vez executado, o ransomware de auto-espalhamento WannaCry não infecta os computadores alvos imediatamente, como engenheiros reversos de malware descobriram, o conta-gotas primeiro tenta conectar o seguinte domínio, que foi inicialmente não registrado:
Hxxp: // www[.]Iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea[.]Com
Se a conexão com o domínio não registrado mencionado acima falhar (o que é óbvio), o conta-gotas procede a infectar o sistema com o ransomware que inicia a criptografia de arquivos.
Mas se a conexão for bem-sucedida, o conta-gotas não infecta o sistema com o módulo de ransomware WannaCry.
Um pesquisador de segurança, tweetando como MalwareTech, fez o mesmo e registrou o domínio mencionado acima, acidentalmente desencadeando um "interruptor da morte" que pode impedir a propagação do ransomware WannaCry, pelo menos por enquanto.
Leia também: O que é um ransomware?
Malware Tech registrou este domínio gastando apenas £ 10, o que torna a lógica de conexão bem-sucedida.
"Em outras palavras, bloquear o domínio com o firewall, tanto no ISP quanto no nível da rede corporativa fará com que o ransomware continue espalhando e criptografando arquivos", alertou a Microsoft.”
Se infectado, o malware varre toda a rede interna e se espalha como um worm em todos os computadores Windows não corrigidos com a ajuda da vulnerabilidade SMB.
A vulnerabilidade do SMB foi identificada como EternalBlue, uma coleção de ferramentas de hacking supostamente criada pela NSA e posteriormente despejada por um grupo de hackers chamado "The Shadow Brokers" há mais de um mês.
Até agora, mais de 114.000 infecções detectadas em 99 países
Um total de 16 organizações do Reino Unido foram afetadas pelo ataque em andamento, incluindo o Serviço Nacional de Saúde (NHS), que foi forçado a rejeitar pacientes, cancelar operações e remarcar compromissos devido à infecção por malware.
WannaCry também atingiu a gigante espanhola de telecomunicações Telefónica infectando alguns de seus computadores em uma rede interna, mas não afetou clientes ou serviços.
Outras vítimas do ataque são a Portugal Telecom e a MegaFon da Rússia.
A empresa de entrega FedEx também foi vítima.
Os usuários do Japão, Turquia e Filipinas também foram afetados.
7 passos fáceis para se proteger
Atualmente, não há uma ferramenta de descriptografia para o WannaCry ou qualquer outra solução disponível, por isso os usuários são fortemente aconselhados a seguir as medidas de prevenção, a fim de se proteger.
Mantenha seu sistema atualizado: Primeiro de tudo, se você estiver usando versões suportadas, mas mais antigas do sistema operacional Windows, mantenha seu sistema atualizado ou simplesmente atualize seu sistema para o Windows 10.
Usando o sistema operacional Windows não suportado? Se você estiver usando versões não suportadas do Windows, incluindo o Windows XP, Vista, Server 2003 ou 2008, aplique o patch de emergência lançado pela Microsoft hoje.
Ativar Firewall: habilite o firewall e, se já estiver lá, modifique suas configurações de firewall.
Desativar SMB: Siga as etapas descritas pela Microsoft para desativar o Server Message Block (SMB).
Mantenha o seu software antivírus atualizado: definições de vírus já foram actualizadas para proteger contra esta ameaça mais recente.
Faça Backup Regularmente: Para ter sempre uma cópia segura e atualizada de todos os seus arquivos e documentos importantes, mantenha uma boa rotina de backup para um dispositivo de armazenamento externo que nem sempre está conectado ao seu PC.
Cuidado com o phishing: sempre suspeite de documentos não solicitados e que foram enviados para seu e-mail e nunca clique em links dentro desses documentos, a menos que verifique a fonte.
