O ransomware se instala quando o usuário clica em links maliciosos. Ele escaneia toda a rede, testa se o dispositivo é vulnerável, e executa o ataque, injetando o malware neste novo dispositivo, espalhando-se por toda a rede.

O que é um Ransomware?

Ransomware é um software malicioso que criptografa e bloqueia arquivos e dispositivos, exigindo o pagamento de valores para que estes sejam liberados. Nos últimos dias, ou até então, o mais perigoso ransomware chamado ‘Wannacry’ (vontade de chorar, em tradução livre) foi deflagrado, afetando dispositivos em todo o mundo, é o maior ataque ransomware já conhecido.

O que é o Ransomware WannaCry?

O WannaCry afeta apenas dispositivos Windows. Ele também pode ser conhecido por outros nomes, como WannaCrypt, WannaCry, WanaCrypt0r, WCrypt, WCRY. Este ransomware baseia-se em uma falha de segurança grave no protocolo SMB em dispositivos Windows. Esta falha chama-se EternalBlue, e através dela o malware é iniciado. Todas as versões do sistema Windows anteriores ao Windows 10 são vulneráveis a este ataque. Somente dispositivos que tenham recebido o patch MS17-010 estão seguros a este ransomware.

Quando o sistema é infectado, o ransomware criptografa todos os arquivos encontrados, inclusive os que estiverem em compartilhamentos de rede, e exibe uma tela com uma contagem regressiva para que seja efetuado o pagamento de USD 300,00 em bitcoins para descriptografar os arquivos e deixá-los no estado inicial. Se este pagamento não for efetuado em 3 dias, a exigência passa a ser de USD 600,00 e surge uma ameaça de que os arquivos serão deletados.

Além disso, o WannaCry instala um backdoor no dispositivo, conhecido como DOUBLEPULSAR.

Como o WannaCry se espalha?

Através da falha de segurança chamada EternalBlue MS17-010, o ranswomare se instala quando o usuário clica em links maliciosos e/ou efetuam download de arquivos maliciosos a partir da Internet, ou ainda via e-mail. Ele também pode se espalhar através da rede interna do usuário, através da vulnerabilidade no compartilhamento Windows SMB. Ele escaneia toda a rede, procurando por portas específicas, testa se o dispositivo é vulnerável, e executa o ataque, injetando o malware neste novo dispositivo, espalhando-se por toda a rede.

Como posso prevenir esta infecção?

  • O ponto mais crítico em toda esta vulnerabilidade é a forma pela qual ele se inicia. Evite clicar em links ou abrir anexos ou e-mails de pessoas que você não conhece, ou empresas com as quais você não mantém contato.
  • A Microsoft liberou uma atualização se segurança chamada MS17-010 para dispositivos Windows. Este patch deve ser aplicado IMEDIATAMENTE.
  • Computadores com sistema Windows NT4, Windows 2000 e Windows XP-2003 devem ser desativados. Estes sistemas já não possuem suporte, e estão vulneráveis a este, e futuros ataques.
  • Mantenha rotinas regulares de backup dos seus arquivos (backup no mesmo dispositivo NÃO É BACKUP!)
  • Salvo necessidades específicas da rede, as portas 139 (netbios-ss), 445 (microsoft-ds) e 3389 (rdp) devem ser bloqueadas no firewall, e não devem ser permitidas para acesso remoto.
  • Por padrão, o SMB é habilitado por padrão no Windows. Salvo necessidades específicas, desabilite-o.
  • Garanta que seu dispositivo está atualizado, e esteja configurado para receber as atualizações periódicas do fornecedor.
  • Mantenha habilitado o bloqueador de pop-up do seu browser.
  • Instale e mantenha um bom antivírus e um bom anti-ransomware em seus dispositivos.

Meu plano de Hospedagem é Windows. O que fazer?

Não se preocupe. A SAN Internet mantém seus servidores atualizados através de rotinas regulares de atualização. Nossos servidores estão seguros quanto a este incidente.

Meus serviços estão em um cloud server Windows Dedicado?

Você precisará aplicar o patch de segurança imediatamente.

Os passos para este procedimento estão disponíveis em:

https://docs.microsoft.com/pt-br/security-updates/SecurityBulletins/2017/ms17-010

https://www.microsoft.com/en-us/msrc?rtc=1

https://support.microsoft.com/en-in/help/4013389/title

Lembre-se que, quando o servidor receber a atualização, é preciso reiniciar o cloud server.