WannaCry Ransomware, também conhecido pelos nomes WannaCrypt, WanaCrypt0r ou Wcrypt é um ransomware que tem como alvo os sistemas operacionais Windows. Descoberto em 12º Maio de 2017, WannaCrypt foi usado em um grande ataque cibernético e desde então infectou mais de 230.000 PCs com Windows em 150 países. agora.
O que é o ransomware WannaCry
Os sucessos iniciais do WannaCrypt incluem o Serviço Nacional de Saúde do Reino Unido, a empresa espanhola de telecomunicações Telefónica e a empresa de logística FedEx. Tamanha foi a escala da campanha de ransomware que causou caos em hospitais no Reino Unido. Muitos deles tiveram que ser encerrados, desencadeando o encerramento das operações em curto prazo, enquanto a equipe foi forçada a usar caneta e papel para seu trabalho com sistemas bloqueados por Ransomware.
Como o ransomware WannaCry entra no seu computador
Como fica evidente em seus ataques em todo o mundo, o WannaCrypt primeiro obtém acesso ao sistema de computador por meio de um anexo do email e depois disso pode se espalhar rapidamente através LAN. O ransomware pode criptografar o disco rígido do seu sistema e tentar explorar o Vulnerabilidade SMB para se espalhar para computadores aleatórios na Internet via porta TCP e entre computadores na mesma rede.
Quem criou o WannaCry
Não há relatórios confirmados sobre quem criou o WannaCrypt, embora WanaCrypt0r 2.0 parece ser o 2WL tentativa feita por seus autores. Seu predecessor, Ransomware WeCry, foi descoberto em fevereiro deste ano e exigia 0.1 Bitcoin para desbloquear.
Atualmente, os invasores estão supostamente usando exploit do Microsoft Windows Azul eterno que foi supostamente criado pela NSA. Essas ferramentas foram supostamente roubadas e vazadas por um grupo chamado Shadow Brokers.
Como o WannaCry se espalha
Este Ransomware se espalha usando uma vulnerabilidade em implementações de Server Message Block (SMB) em sistemas Windows. Este exploit é denominado EternalBlue que foi supostamente roubado e mal utilizado por um grupo chamado Shadow Brokers.
Interessantemente, EternalBlue é uma arma de hacker desenvolvida pela NSA para obter acesso e comandar os computadores que executam o Microsoft Windows. Foi projetado especificamente para a unidade de inteligência militar dos Estados Unidos obter acesso aos computadores usados pelos terroristas.
WannaCrypt cria um vetor de entrada em máquinas ainda sem patch, mesmo depois que a correção se tornou disponível. WannaCrypt visa todas as versões do Windows que não foram corrigidas para MS-17-010, que a Microsoft lançou em março de 2017 para Windows Vista, Windows Server 2008, Windows 7, Windows Server 2008 R2, Windows 8.1, Windows RT 8.1, Windows Server 2012, Windows Server 2012 R2, Windows 10 e Windows Server 2016.
O padrão de infecção comum inclui:
- Chegada por meio de e-mails de engenharia social projetados para enganar os usuários a executar o malware e ativar a funcionalidade de propagação de worms com o exploit SMB. Os relatórios dizem que o malware está sendo entregue em um arquivo infectado do Microsoft Word que é enviado por e-mail, disfarçado como uma oferta de trabalho, uma fatura ou outro documento relevante.
- Infecção por exploração de SMB, quando um computador sem patch pode ser resolvido em outras máquinas infectadas
WannaCry é um Trojan dropper
Exibindo propriedades de um Trojan dropper, WannaCry, que tenta conectar o domínio hxxp: // www [.] iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea [.] com, usando a API InternetOpenUrlA ():
No entanto, se a conexão for bem-sucedida, a ameaça não infectará mais o sistema com ransomware ou tentará explorar outros sistemas para se espalhar; simplesmente para a execução. É apenas quando a conexão falha, o dropper começa a largar o ransomware e cria um serviço no sistema.
Portanto, bloquear o domínio com firewall no nível do ISP ou da rede corporativa fará com que o ransomware continue a espalhar e criptografar arquivos.
Foi exatamente assim que um pesquisador de segurança realmente interrompeu o surto de WannaCry Ransomware! Este pesquisador acha que o objetivo desta verificação de domínio era para o ransomware verificar se ele estava sendo executado em um Sandbox. No entanto, outro pesquisador de segurança percebeu que a verificação de domínio não reconhece o proxy.
Quando executado, o WannaCrypt cria as seguintes chaves de registro:
- HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run \\
= “ \ tasksche.Exe" - HKLM \ SOFTWARE \ WanaCrypt0r \\ wd = “
” - HKLM \ SOFTWARE \ WanaCrypt0r \\ wd = “
Ele muda o papel de parede para uma mensagem de resgate, modificando a seguinte chave de registro:
- HKCU \ Control Panel \ Desktop \ Wallpaper: “
\ @ [email protegido] ”
O resgate solicitado contra a chave de descriptografia começa com $ 300 Bitcoin que aumenta depois de algumas horas.
Extensões de arquivo infectadas por WannaCrypt
O WannaCrypt procura em todo o computador por qualquer arquivo com qualquer uma das seguintes extensões de nome de arquivo: .123, .JPEG , .rb , .602 , .jpg , .rtf , .doc , .js , .sch , .3dm , .jsp , .sh , .3ds , .chave , .sldm , .3g2 , .colocar , .sldm , .3gp , .lay6 , .sldx , .7z , .ldf , .slk , .accdb , .m3u , .sln , .aes , .m4u , .snt , .ai , .max , .sql , .ARCO , .mdb , .sqlite3 , .asc , .mdf , .sqlitedb , .asf , .meio , .stc , .asm , .mkv , .std , .asp , .mml , .sti , .avi , .mov , .stw , .cópia de segurança , .mp3 , .suo , .Bak , .mp4 , .SVG , .bastão , .MPEG , .swf , .bmp , .mpg , .sxc , .brd , .msg , .sxd , .bz2 , .meu D , .sxi , .c , .myi , .sxm , .cgm , .nef , .sxw , .aula , .odb , .alcatrão , .cmd , .odg , .tbk , .cpp , .odp , .tgz , .crt , .ods , .tif , .cs , .odt , .tiff , .csr , .onetoc2 , .TXT , .csv , .ost , .uop , .db , .otg , .uot , .dbf , .otp , .vb , .dch , .ots , .vbs , .der ” , .ott , .vcd , .dif , .p12 , .vdi , .mergulhar , .PAQ , .vmdk , .djvu , .pas , .vmx , .docb , .pdf , .vob , .docm , .pem , .vsd , .docx , .pfx , .vsdx , .ponto , .php , .wav , .dotm , .pl , .wb2 , .dotx , .png , .wk1 , .dwg , .Panela , .semanas , .edb , .potm , .wma , .eml , .potx , .wmv , .fla , .ppam , .xlc , .flv , .pps , .xlm , .frm , .ppsm , .xls , .gif , .ppsx , .xlsb , .gpg , .ppt , .xlsm , .gz , .pptm , .xlsx , .h , .pptx , .xlt , .hwp , .ps1 , .xltm , .ibd , .psd , .xltx , .iso , .PST , .xlw , .jarra , .rar , .fecho eclair , .Java , .cru
Em seguida, ele os renomeia acrescentando “.WNCRY ”para o nome do arquivo
WannaCry tem capacidade de propagação rápida
A funcionalidade do worm no WannaCry permite que ele infecte máquinas Windows não corrigidas na rede local. Ao mesmo tempo, ele também executa uma varredura massiva em endereços IP da Internet para encontrar e infectar outros PCs vulneráveis. Esta atividade resulta em grandes dados de tráfego SMB vindos do host infectado e podem ser facilmente rastreados pela equipe do SecOps.
Depois que WannaCry infecta com sucesso uma máquina vulnerável, ele o usa para pular para infectar outros PCs. O ciclo continua, à medida que o roteamento de varredura descobre computadores sem patch.
Como se proteger contra WannaCry
- Microsoft recomenda atualizando para o Windows 10 já que está equipado com os recursos mais recentes e atenuações proativas.
- Instale o atualização de segurança MS17-010 lançado pela Microsoft. A empresa também lançou patches de segurança para versões sem suporte do Windows, como Windows XP, Windows Server 2003, etc.
- Os usuários do Windows são aconselhados a ser extremamente cautelosos com o e-mail de phishing e ter muito cuidado ao abrindo os anexos de e-mail ou clicando em links da web.
- Faço backups e mantê-los seguros
- Antivírus do Windows Defender detecta esta ameaça como Ransom: Win32 / WannaCrypt então habilite, atualize e execute o Windows Defender Antivirus para detectar este ransomware.
- Faça uso de alguns Ferramentas Anti-WannaCry Ransomware.
- O Verificador de Vulnerabilidade EternalBlue é uma ferramenta gratuita que verifica se o seu computador Windows está vulnerável a Exploit EternalBlue.
- Desativar SMB1 com as etapas documentadas em KB2696547.
- Considere adicionar uma regra em seu roteador ou firewall para bloquear o tráfego SMB de entrada na porta 445
- Os usuários corporativos podem usar Device Guard para bloquear dispositivos e fornecer segurança baseada em virtualização em nível de kernel, permitindo que apenas aplicativos confiáveis sejam executados.
Para saber mais sobre este assunto leia o blog Technet.
WannaCrypt pode ter sido interrompido por enquanto, mas você pode esperar que uma nova variante ataque mais furiosamente, então fique seguro e protegido.
Os clientes do Microsoft Azure podem querer ler o conselho da Microsoft sobre como evitar a ameaça do WannaCrypt Ransomware.
ATUALIZAR: WannaCry Ransomware Decryptors estão disponíveis. Sob condições favoráveis, WannaKey e WanaKiwi, duas ferramentas de descriptografia podem ajudar a descriptografar arquivos criptografados WannaCrypt ou WannaCry Ransomware, recuperando a chave de criptografia usada pelo ransomware.