Como se Proteger do Ataque de Ransomware Como o WannaCry

Pode-se dizer, que ningu√©m est√° totalmente livre de um ataque de v√≠rus, mas algumas precau√ß√Ķes, pode ajudar bastante. Vamos fazer algumas an√°lises sobre o √ļltimo grande ataque de ransomware, o WannaCry, que se espalhou pelo mundo no dia 12 de maio de 2017 e testemunhou um novo ransomware que se espalha como um worm alavancando vulnerabilidades, que foram previamente corrigidas. Enquanto as atualiza√ß√Ķes de seguran√ßa s√£o aplicadas automaticamente na maioria dos computadores, alguns usu√°rios e organiza√ß√Ķes podem atrasar a implanta√ß√£o de patches. Infelizmente, o ransomware, conhecido como WannaCry, parece ter afetado computadores que n√£o aplicaram o patch para essas vulnerabilidades. Enquanto o ataque continua se proliferando, lembramos que voc√™ deve atualizar seus sistemas de TI caso ainda n√£o o tenha feito.

Como começou o ataque?

As ameaças de Ransomware não se espalham rapidamente em um movimento típico, como outros worms. Ameaças como o WannaCry, também conhecido como: WannaCrypt, ou WanaCrypt0r, ou WCrypt, ou WCRY, geralmente alavancam a engenharia social ou o e-mail como método de ataque primário, confiando nos usuários que baixam e executam uma mensagem de e-mail maliciosa, principalmente com arquivos anexados. No entanto, neste caso atípico, os autores de ransomware usaram o código de exploração disponível publicamente para espalhar o WannaCry.

Devido a este código de exploração, um ransomware regular tornou-se muito poderoso, provocando um cyberattack devido as foncionalidades do worm. As características do worm permitiram que este ransomware entrasse nas máquinas, não atualizadas, apesar da correção se tornar disponível.

O c√≥digo de explora√ß√£o utilizado pelo WannaCry foi concebido para funcionar apenas contra sistemas Windows 7 e Windows Server 2008, ou sistemas operacionais mais antigos, sem patch de atualiza√ß√Ķes, pelo que os PCs do Windows 10 n√£o s√£o afetados por este ataque. As formas mais prov√°veis ‚Äč‚Äčem que este ataque pode ter come√ßado s√£o os dois seguintes:

Chegada através de e-mails de engenharia social projetados para enganar os usuários para executar o malware e ativar a função do worm-spreading com o exploit SMB.

Infecção através de SMB que explora quando um computador não corrigido é conectado na rede de outras máquinas infectadas

Como Funciona Este Ataque?

A ameaça chega como um dropper, Trojan, que tem os dois componentes a seguir:

  • Um componente que tenta explorar a vulnerabilidade de SMB CVE-2017-0145 em outros computadores
  • O ransomware conhecido como WannaCrypt
  • O dropper tenta conectar os dom√≠nios de nomes inexistentes, com API InternetOpenUrlA():

Se a conexão com os domínios for bem-sucedida, o dropper não infectará o sistema ainda mais com ransomware, ou tentará explorar outros sistemas para se espalhar. Simplesmente pára a execução. No entanto, se a conexão falhar, a ameaça prossegue para soltar o ransomware e cria um serviço no sistema.

Em outras palavras, ao contr√°rio da maioria das infec√ß√Ķes de malware, os administradores de TI n√£o devem bloquear esses dom√≠nios . Observe que o malware n√£o est√° protegido por proxy, portanto, um registro DNS local pode ser necess√°rio. Isso n√£o precisa apontar para a Internet, mas pode resolver a qualquer servidor acess√≠vel que aceitar√° conex√Ķes no TCP 80.

A ameaça cria um serviço chamado mssecsvc2.0 , cuja função é explorar a vulnerabilidade de SMB em outros computadores acessíveis a partir do sistema infectado:

  • Nome do servi√ßo: mssecsvc2.0
  • Descri√ß√£o do servi√ßo: Microsoft Security Center 2.0 Service
  • Par√Ęmetros de servi√ßo: “-m security”

Como o ransomware do WannaCry está afetando os Sistemas de TI de sua organização?

O componente ransomware é um dropper que contém um arquivo zip protegido por senha em sua seção de recursos. A rotina de criptografia de documentos e os arquivos dentro da pasta de arquivos .zip contêm ferramentas de suporte, uma ferramenta que descriptografa a mensagem de resgate.

Como se proteger contra o WannaCry

A maneira mais eficaz de se proteger contra o ransomware, como o WannaCry √© fazer imediatamente as atualiza√ß√Ķes de seguran√ßa do Windows Update, sempre, que estas estiverem dispon√≠veis.

Outra op√ß√£o √© baixar atualiza√ß√Ķes separadas se sua internet n√£o √© t√£o boa. Neste caso voc√™ pode baixar as atualiza√ß√Ķes cr√≠ticas. Tem tamb√©m a op√ß√£o de entrar no site da Microsoft, procurar pelo sistema operacional que voc√™ estiver usando e clicar na vers√£o.

No site da Microsoft existem patches para Windows Vista, Windows 7, Windows 8.1, Windows 10 e Windows Server XXX, al√©m de praticamente todas as vers√Ķes de Windows, que a Microsoft presta suporte atualmente.

Antes de baixar a atualiza√ß√£o, verifique se o seu sistema operacional √© de 32, ou 64 bits. H√° tamb√©m algumas solu√ß√Ķes alternativas listadas na p√°gina que remediam o problema, como desativar o SMBv1, minimizando assim os riscos.

Outras op√ß√Ķes de prote√ß√£o sugeridas, que todos j√° viram por a√≠, mas esquecem:

  • Nunca clicar em mensagens duvidosas, na caixa de entrada do seu correio eletr√īnico.
  • Nunca clicar links nas mensagens de remetente desconhecido. Antes de fazer isso, passe o mouse sobre o link, para ver se ele √© do site do remetente da mensagem.
  • Nunca clicar em arquivos anexados, mesmo que o remetente seja um conhecido. Antes de fazer isso, tenha certeza, de que est√° esperando tal arquivo deste remetente

O que é um firewall de hardware da SonicWALL?
Nova Forma De Malware Que Está Rondando Por Aí
ESET Smart Security Um Dos Melhores Antivirus Do Mundo
Como Funciona Norton Safe Web

Deixe uma resposta

O seu endereço de e-mail não será publicado.