RANSONWARE compromete sistemas Windows vulneráveis em vários países

Segundo a empresa de segurança Russa Kaspersky, o malware (código malicioso) explora uma vulnerabilidade em sistemas Microsoft que já foi corrigida em 14 de março, porém infraestruturas que não tenham sido atualizadas após essa data certamente estão vulneráveis.

O ransonware age criptografando os dados da vítima sendo que a partir daí o atacante exige o pagamento de resgate para liberar a senha para descriptografá-los.  Mesmo o dinheiro envolvido na transação não pode ser rastreado pois utiliza criptomoedas, nesse caso o Bitcoin, para o pagamento e sem possibilidade de identificação do beneficiário (cibercriminoso).

 

Resumo da dinâmica do ataque de hoje

“O ransomware, conhecido pelas variantes de WannaCry ou HydraCrypt, infecta computadores utilizando o sistema operacional Microsoft Windows através de uma vulnerabilidade no serviço SMB, utilizado para o compartilhamento de arquivos via rede. Quando o usuário executa um arquivo malicioso enviado pelo atacante, normalmente um arquivo compactado do tipo RAR, inicia-se um processo de cifragem de arquivos no computador da vítima. Além disso, conforme dito anteriormente, o ransomware pode propagar-se através da rede local podendo afetar também outras máquinas que executem o mesmo sistema operacional. Quando o computador é afetado, os arquivos cifrados passam a ser identificados pela extesão “.wcry”. Após este processo, é solicitada à vítima o pagamento de uma taxa para envio da chave que poderá decifrar os dados.Porém, de acordo com relatos conhecidos, o pagamento da taxa de resgate ao usuário malicioso não garante que o mesmo irá enviar a chave para decifrar os arquivo s, o que torna importante realizar regularmente o backup dos arquivos para recuperação quando necessário”. Fonte: RNP.

Recomendações

Convém efetuar backups offline e verificar a integridade das cópias de segurança, manter as ferramentas antimalware (antivirus, antispyware,etc) atualizadas e operando e principalmente instalar a atualização de segurança do Windows de 14 março  utilizando o Windows Update. Em alguns casos desativar o serviço SMBv1 e/ou bloquear acesso as portas 139 e 445 podem ser uma solução, caso não afetem outros serviços.

As agências de segurança digital costumam orientar para que usuários não paguem qualquer tipo de resgate já que não há garantia de acesso aos dados.

 

Fontes

Segurança RNP:

https://www.rnp.br/servicos/seguranca

Karpersky Lab

https://www.kaspersky.com.br/

Avast News

https://www.avast.com/c-security-news

 

 

Publicado em 12/05/2017, em Alertas. Marcado com as tags Ransonware, Vírus, Windows.