Como se Proteger do Ataque de Ransomware Como o WannaCry

Como se proteger do ataque de Ransomware como o WannaCry? Pode-se dizer, que ningu√©m est√° totalmente livre de um ataque de v√≠rus, mas algumas precau√ß√Ķes, pode ajudar bastante. Vamos fazer algumas an√°lises sobre o √ļltimo grande ataque de ransomware, o WannaCry, que se espalhou pelo mundo no dia 12 de maio de 2017 e testemunhou um novo ransomware que se espalha como um worm alavancando vulnerabilidades, que foram previamente corrigidas. Enquanto as atualiza√ß√Ķes de seguran√ßa s√£o aplicadas automaticamente na maioria dos computadores, alguns usu√°rios e organiza√ß√Ķes podem atrasar a implanta√ß√£o de patches. Infelizmente, o ransomware, conhecido como WannaCry, parece ter afetado computadores que n√£o aplicaram o patch para essas vulnerabilidades. Enquanto o ataque continua se proliferando, lembramos que voc√™ deve atualizar seus sistemas de TI caso ainda n√£o o tenha feito.

Como começou o ataque?

As ameaças de Ransomware não se espalham rapidamente em um movimento típico, como outros worms. Ameaças como o WannaCry, também conhecido como: WannaCrypt, ou WanaCrypt0r, ou WCrypt, ou WCRY, geralmente alavancam a engenharia social ou o e-mail como método de ataque primário, confiando nos usuários que baixam e executam uma mensagem de e-mail maliciosa, principalmente com arquivos anexados. No entanto, neste caso atípico, os autores de ransomware usaram o código de exploração disponível publicamente para espalhar o WannaCry.

Devido a este código de exploração, um ransomware regular tornou-se muito poderoso, provocando um cyberattack devido as foncionalidades do worm. As características do worm permitiram que este ransomware entrasse nas máquinas, não atualizadas, apesar da correção se tornar disponível.

O c√≥digo de explora√ß√£o utilizado pelo WannaCry foi concebido para funcionar apenas contra sistemas Windows 7 e Windows Server 2008, ou sistemas operacionais mais antigos, sem patch de atualiza√ß√Ķes, pelo que os PCs do Windows 10 n√£o s√£o afetados por este ataque. As formas mais prov√°veis ‚Äč‚Äčem que este ataque pode ter come√ßado s√£o os dois seguintes:

Chegada através de e-mails de engenharia social projetados para enganar os usuários para executar o malware e ativar a função do worm-spreading com o exploit SMB.

Infecção através de SMB que explora quando um computador não corrigido é conectado na rede de outras máquinas infectadas

Como Funciona Este Ataque?

A ameaça chega como um dropper, Trojan, que tem os dois componentes a seguir:

  • Um componente que tenta explorar a vulnerabilidade de SMB CVE-2017-0145 em outros computadores
  • O ransomware conhecido como WannaCrypt
  • O dropper tenta conectar os dom√≠nios de nomes inexistentes, com API InternetOpenUrlA():

Se a conexão com os domínios for bem-sucedida, o dropper não infectará o sistema ainda mais com ransomware, ou tentará explorar outros sistemas para se espalhar. Simplesmente pára a execução. No entanto, se a conexão falhar, a ameaça prossegue para soltar o ransomware e cria um serviço no sistema.

Em outras palavras, ao contr√°rio da maioria das infec√ß√Ķes de malware, os administradores de TI n√£o devem bloquear esses dom√≠nios . Observe que o malware n√£o est√° protegido por proxy, portanto, um registro DNS local pode ser necess√°rio. Isso n√£o precisa apontar para a Internet, mas pode resolver a qualquer servidor acess√≠vel que aceitar√° conex√Ķes no TCP 80.

A ameaça cria um serviço chamado mssecsvc2.0 , cuja função é explorar a vulnerabilidade de SMB em outros computadores acessíveis a partir do sistema infectado:

  • Nome do servi√ßo: mssecsvc2.0
  • Descri√ß√£o do servi√ßo: Microsoft Security Center 2.0 Service
  • Par√Ęmetros de servi√ßo: “-m security”

Como o ransomware do WannaCry está afetando os Sistemas de TI de sua organização?

O componente ransomware é um dropper que contém um arquivo zip protegido por senha em sua seção de recursos. A rotina de criptografia de documentos e os arquivos dentro da pasta de arquivos .zip contêm ferramentas de suporte, uma ferramenta que descriptografa a mensagem de resgate.

Como se proteger contra o WannaCry

A maneira mais eficaz de se proteger contra o ransomware, como o WannaCry √© fazer imediatamente as atualiza√ß√Ķes de seguran√ßa do Windows Update, sempre, que estas estiverem dispon√≠veis.

Outra op√ß√£o √© baixar atualiza√ß√Ķes separadas se sua internet n√£o √© t√£o boa. Neste caso voc√™ pode baixar as atualiza√ß√Ķes cr√≠ticas. Tem tamb√©m a op√ß√£o de entrar no site da Microsoft, procurar pelo sistema operacional que voc√™ estiver usando e clicar na vers√£o.

No site da Microsoft existem patches para Windows Vista, Windows 7, Windows 8.1, Windows 10 e Windows Server XXX, al√©m de praticamente todas as vers√Ķes de Windows, que a Microsoft presta suporte atualmente.

Antes de baixar a atualiza√ß√£o, verifique se o seu sistema operacional √© de 32, ou 64 bits. H√° tamb√©m algumas solu√ß√Ķes alternativas listadas na p√°gina que remediam o problema, como desativar o SMBv1, minimizando assim os riscos.

Outras op√ß√Ķes de prote√ß√£o sugeridas, que todos j√° viram por a√≠, mas esquecem:

  • Nunca clicar em mensagens duvidosas, na caixa de entrada do seu correio eletr√īnico.
  • Nunca clicar links nas mensagens de remetente desconhecido. Antes de fazer isso, passe o mouse sobre o link, para ver se ele √© do site do remetente da mensagem.
  • Nunca clicar em arquivos anexados, mesmo que o remetente seja um conhecido. Antes de fazer isso, tenha certeza, de que est√° esperando tal arquivo deste remetente

Deixe uma resposta

O seu endereço de e-mail não será publicado.