O que fazer se os arquivos foram criptografados pelo WannaCry. Tenha calma e não pague o resgate!
[Segurança] Perguntas e Respostas (FAQ) sobre o ransomware WannaCry
Como o meu post sobre o ransomware WannaCry está ficando grande, resolvi resumir as principais dúvidas sobre ele aqui.
O que é o WannaCry?
O WannaCry (ou Wcry, WannaCryptor, Win32/WannaCrypt) é um ransomware, um tipo de código malicioso que "sequestra" computadores para exigir um dinheiro em troca de devolver o acesso ao seu dono. Veja um vídeo sobre o Ransonware WannaCryptor.
Como ele consegue infectar os computadoes?
O WannaCry explora uma vulnerabilidade do sistema operacional Windows, identificada como MS17-010, que permite execução remota de um código através de uma vulnerabilidade no serviço Server Message Block (SMBv1). Para esplorar essa falha e invadir os computadores, o WannaCry usa um exploit chamado EternalBlue, que vazou da NSA.
Uma vez infectada a máquina, ele encripta os arquivos e mostra uma tela na qual exige um resgate de 300 dólares, a serem pagos em bitcoins em, no máximo, 7 dias (o valor do "sequestro" aumenta para US$ 600 após as primeiras 72 horas).
Como ele se espalha?
Após infectar sua vítima, o ransomware procura outras máquinas na rede local e na Internet e utiliza o protocolo SMB para infectar estas máquinas. Para se espalhar pela Internet, ele usa um gerador de números aleatórios para criar endereços IP randômicos.
Porque ele se espalha tão rapidamente?
O WannaCry é um ransomware que se comporta como um "worm" (verme), infectando novas vítimas automaticamente, sem necessidade de intervenção do usuário. Ele procura computadores na rede e utiliza um exploit para infectar qualquer computador vulnerável que encontre.
É verdade que conseguiram parar a onda de ataques do WannaCry?
Sim. alguns pesquisadores registraram um domínio que constava no código do malware. Ao fazer isso, perceberam que ele consulta o dominio ao infectar uma máquina e, se o malware consegue acessar o dominio ele interrompe a infecção. Isso não salva a vida de quem já está infectado e com seus dados criptografados, mas dificulta que o malware se espalhe.
É verdade que descobriram a senha que desencripta os arquivos?
NÃO!!!!! Alguns pesquisadores encontraram a senha "WNcry@2o17" dentro do código do WannaCrypt, mas ela não é usada para criptografar os arquivos. Ela é usada pelo ransomwae para baixar seu payload através de um arquivo Zip protegido com essa senha.
O WannaCry utiliza o algoritmo de criptografia AES para criptografar os arquivos da vítima, e usa uma chave de criptografia protegida por outra criptografa, mais forte ainda, com o algoritmo RSA e uma chave de 2048 bits.
Como Prevenir e evitar ser invadido?
Neste meu post (de 2014), eu cito algumas ações preventivas que as empresas deveriam tomar. As principais recomendações são as seguintes:
Como descobrir que o WannaCry infectou algum computador na minha empresa?
Já foram identificados vários indicadores do ataque (IOC) que podem ser usados na rede ou nos computadores:
Que tipos de arquivo ele encripta na máquina infectada?
Ele procura todo o computador por qualquer arquivo com as seguintes extensões: .123, .jpeg , .rb , .602 , .jpg , .rtf , .doc , .js , .sch , .3dm , .jsp , .sh , .3ds , .key , .sldm , .3g2 , .lay , .sldm , .3gp , .lay6 , .sldx , .7z , .ldf , .slk , .accdb , .m3u , .sln , .aes , .m4u , .snt , .ai , .max , .sql , .ARC , .mdb , .sqlite3 , .asc , .mdf , .sqlitedb , .asf , .mid , .stc , .asm , .mkv , .std , .asp , .mml , .sti , .avi , .mov , .stw , .backup , .mp3 , .suo , .bak , .mp4 , .svg , .bat , .mpeg , .swf , .bmp , .mpg , .sxc , .brd , .msg , .sxd , .bz2 , .myd , .sxi , .c , .myi , .sxm , .cgm , .nef , .sxw , .class , .odb , .tar , .cmd , .odg , .tbk , .cpp , .odp , .tgz , .crt , .ods , .tif , .cs , .odt , .tiff , .csr , .onetoc2 , .txt , .csv , .ost , .uop , .db , .otg , .uot , .dbf , .otp , .vb , .dch , .ots , .vbs , .der” , .ott , .vcd , .dif , .p12 , .vdi , .dip , .PAQ , .vmdk , .djvu , .pas , .vmx , .docb , .pdf , .vob , .docm , .pem , .vsd , .docx , .pfx , .vsdx , .dot , .php , .wav , .dotm , .pl , .wb2 , .dotx , .png , .wk1 , .dwg , .pot , .wks , .edb , .potm , .wma , .eml , .potx , .wmv , .fla , .ppam , .xlc , .flv , .pps , .xlm , .frm , .ppsm , .xls , .gif , .ppsx , .xlsb , .gpg , .ppt , .xlsm , .gz , .pptm , .xlsx , .h , .pptx , .xlt , .hwp , .ps1 , .xltm , .ibd , .psd , .xltx , .iso , .pst , .xlw , .jar , .rar , .zip , .java , .raw
Como identificar se o WannaCry está tentando se espalhar pela minha rede?
Para tentar se espalhar, o WannaCry escaneia IPs da rede local e IPs válidos na Internet buscando pela porta TCP/445. Monitore quantidades excessivas deste tráfego e, principalmente, tentativas de sair para a Internet nesta porta.
Tem assinatura do ataque para conseguir identificá-lo em um SNORT?
Sim, a IBM disponibilizou uma assinatura para o SNORT.
Adianta tentar bloquear os IPs dos servidores que o WannaCry tenta se comunicar?
Algumas empresas divulgaram uma lista de endereços IP dos servidores de controle do WannaCry. Eu acredito que não adianta bloquesr estes IPs, pois como ele usa a rede TOR para se comunicar com os seus servidores, ele pode usar qualquer endereço IP de entrada na rede TOR, que são IPs que variam frequentemente.
Adianta desligar a minha rede e meus computadores?
Há notícias de empresas que optaram por preventivamente destivar sua rede e desligar seus computadores para tentar conter ou evitar a infecção. Para ser sincero, não acho que elas estão erradas, pois isso evitaria a contaminação. Mas o mais importante mesmo é atualizar seus servidores e desktops Windows.
Você deve fazer uma parada emergencial programada no ambiente: primeiro desligar os dispositivos de redes dos usuários (rede física e Wifi) e começar atualizando os servidores. Depois vai religando as redes dos usuários parcialmente e força a atualização das máquinas conforme elas voltam ao ar.
O que fazer se os arquivos foram criptografados pelo WannaCry.
Tenha calma e não pague o resgate! Verifique quando vocês vez backup pela última vez e dê uma olhada no site www.nomoreransom.org se há dicas ou ferramentas para recuperar seus arquivos.
Quanto dinheiro já arrecadado pelos criadores do WannaCry?
Alguns pesquisadores criaram um site para monitorar quanto foi enviado para os criadores do WannaCry (monitorando 3 das carteiras de bitcoins deles): http://howmuchwannacrypaidthehacker.com
Esse ataque pode ser considerado um ato de "cyber guerra"?
NÃO!!! Isso não tem nada a ver com guerra cibernética, que é o conflito entre países ou ideologias. O WannaCry é um ransomware com objetivo de ganhar dinheiro através da extorsão. É um caso de crime cibernético.
Esse ataque foi direcionado a empresas de Telecom?
NÃO!!! Esse é um ransonware que tenta atacar qualquer computador vulnerável que ele encontre na Internet e na rede local. Há relatos de todo tipo de empresa sendo atacada em todo o mundo: banos, hospitais, escolas, empresas de telecom, etc. Não há um alvo específico!
Obviamente as grandes empresas (bancos, teles) são as mais afetadas pois costumam ter grande quantidade de computadores, e algumas vezes falham em mantê-los atualizados.
Qual é a principal lição que deveria ser aprendda com esse ataque?
Que devemos manter nossos sistemas sempre atualizados, aplicando os patches o mais rápido possível.
Tem algum comentário que posso fazer para trollar a galera?
Já tem algumas piadinhas circulando por aí. Que tal...
O que é o WannaCry?
O WannaCry (ou Wcry, WannaCryptor, Win32/WannaCrypt) é um ransomware, um tipo de código malicioso que "sequestra" computadores para exigir um dinheiro em troca de devolver o acesso ao seu dono. Veja um vídeo sobre o Ransonware WannaCryptor.
Como ele consegue infectar os computadoes?
O WannaCry explora uma vulnerabilidade do sistema operacional Windows, identificada como MS17-010, que permite execução remota de um código através de uma vulnerabilidade no serviço Server Message Block (SMBv1). Para esplorar essa falha e invadir os computadores, o WannaCry usa um exploit chamado EternalBlue, que vazou da NSA.
Uma vez infectada a máquina, ele encripta os arquivos e mostra uma tela na qual exige um resgate de 300 dólares, a serem pagos em bitcoins em, no máximo, 7 dias (o valor do "sequestro" aumenta para US$ 600 após as primeiras 72 horas).
Como ele se espalha?
Após infectar sua vítima, o ransomware procura outras máquinas na rede local e na Internet e utiliza o protocolo SMB para infectar estas máquinas. Para se espalhar pela Internet, ele usa um gerador de números aleatórios para criar endereços IP randômicos.
Porque ele se espalha tão rapidamente?
O WannaCry é um ransomware que se comporta como um "worm" (verme), infectando novas vítimas automaticamente, sem necessidade de intervenção do usuário. Ele procura computadores na rede e utiliza um exploit para infectar qualquer computador vulnerável que encontre.
É verdade que conseguiram parar a onda de ataques do WannaCry?
Sim. alguns pesquisadores registraram um domínio que constava no código do malware. Ao fazer isso, perceberam que ele consulta o dominio ao infectar uma máquina e, se o malware consegue acessar o dominio ele interrompe a infecção. Isso não salva a vida de quem já está infectado e com seus dados criptografados, mas dificulta que o malware se espalhe.
É verdade que descobriram a senha que desencripta os arquivos?
NÃO!!!!! Alguns pesquisadores encontraram a senha "WNcry@2o17" dentro do código do WannaCrypt, mas ela não é usada para criptografar os arquivos. Ela é usada pelo ransomwae para baixar seu payload através de um arquivo Zip protegido com essa senha.
O WannaCry utiliza o algoritmo de criptografia AES para criptografar os arquivos da vítima, e usa uma chave de criptografia protegida por outra criptografa, mais forte ainda, com o algoritmo RSA e uma chave de 2048 bits.
Como Prevenir e evitar ser invadido?
Neste meu post (de 2014), eu cito algumas ações preventivas que as empresas deveriam tomar. As principais recomendações são as seguintes:
- O mais importante: mantenham seus computadores Windows atualizados. O patch está dsponível no site da Microsoft desde Março deste ano;
- A Microsoft também publicou um artigo com orientações para os usuários do Windows sobre como evitar o ataque;
- Bloquear ou desabilitar o protocolo SMB. Os Firewalls de borda (que protegem a conexão com a Internet e outras redes externas) devem bloquear tráfego de entrada e saída nas portas 137 e 138 UDP e as portas TCP 139 e 445;
- Bloquear o acesso das máquinas internas de sua rede para IPs externos associados a rede TOR;
- Manter seu antivírus atualizado;
- Manter backup atualizado de seus dados.
Como descobrir que o WannaCry infectou algum computador na minha empresa?
Já foram identificados vários indicadores do ataque (IOC) que podem ser usados na rede ou nos computadores:
- Hash (SHA256) dos códigos executáveis:
- 09a46b3e1be080745a6d8d88d6b5bd351b1c7586ae0dc94d0c238ee36421cafa
- 24d004a104d4d54034dbcffc2a4b19a11f39008a575aa614ea04703480b1022c
- 2584e1521065e45ec3c17767c065429038fc6291c091097ea8b22c8a502c41dd
- 2ca2d550e603d74dedda03156023135b38da3630cb014e3d00b1263358c5f00d
- 4a468603fdcb7a2eb5770705898cf9ef37aade532a7964642ecd705a74794b79
- Hash (MD5) dos códigos executáveis, segundo a Kaspersky:
- 4fef5e34143e646dbf9907c4374276f5
- 5bef35496fcbdbe841c82f4d1ab8b7c2
- 775a0631fb8229b2aa3d7621427085ad
- 7bf2b57f2a205768755c07f238fb32cc
- 7f7ccaa16fb15eb1c7399d422f8363e8
- 8495400f199ac77853c53b5a3f278f3e
- 84c82835a5d21bbcf75a61706d8ab549
- 86721e64ffbd69aa6944b9672bcabb6d
- 8dd63adb68ef053e044a5a2f46e0d2cd
- b0ad5902366f860f85b892867e5b1e87
- d6114ba5f10ad67a4131ab72531f02da
- db349b97c37d22f5ea1d1841e3c89eb4
- e372d07207b4da75b3434584cd9f3450
- f529f4556a5126bba499c26d67892240
- Após infectar a máquina, o ransomware tenta acessar o seguinte website:
- www[.]iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea[.]com
- Para tentar se espalhar, o WannaCry escaneia IPs da rede local e IPs válidos na Internet buscando pela porta TCP/445
- Extensão de arquivo associadas ao ransonware: .WNCRY
- Ao se instalar, ele cria o arquivo %SystemRoot%\tasksche.exe
- Ao se instalar, ele cria o serviço mssecsvc2.0
- Ele cria ou altera as seguintes chaves de registro no Windows:
- HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\\
= “ \tasksche.exe” - HKLM\SOFTWARE\WanaCrypt0r\\wd = “
” - HKCU\Control Panel\Desktop\Wallpaper: “
\@WanaDecryptor@.bmp” - Ele cria diversos arquivos no computador da vítima, incluindo os seguintes:
- @Please_Read_Me@.txt
- r.wnry
- s.wnry
- t.wnry
- taskdl.exe
- taskse.exe
- 00000000.eky
- 00000000.res
- 00000000.pky
- @WanaDecryptor@.exe
- m.vbs
- @WanaDecryptor@.exe.lnk
Que tipos de arquivo ele encripta na máquina infectada?
Ele procura todo o computador por qualquer arquivo com as seguintes extensões: .123, .jpeg , .rb , .602 , .jpg , .rtf , .doc , .js , .sch , .3dm , .jsp , .sh , .3ds , .key , .sldm , .3g2 , .lay , .sldm , .3gp , .lay6 , .sldx , .7z , .ldf , .slk , .accdb , .m3u , .sln , .aes , .m4u , .snt , .ai , .max , .sql , .ARC , .mdb , .sqlite3 , .asc , .mdf , .sqlitedb , .asf , .mid , .stc , .asm , .mkv , .std , .asp , .mml , .sti , .avi , .mov , .stw , .backup , .mp3 , .suo , .bak , .mp4 , .svg , .bat , .mpeg , .swf , .bmp , .mpg , .sxc , .brd , .msg , .sxd , .bz2 , .myd , .sxi , .c , .myi , .sxm , .cgm , .nef , .sxw , .class , .odb , .tar , .cmd , .odg , .tbk , .cpp , .odp , .tgz , .crt , .ods , .tif , .cs , .odt , .tiff , .csr , .onetoc2 , .txt , .csv , .ost , .uop , .db , .otg , .uot , .dbf , .otp , .vb , .dch , .ots , .vbs , .der” , .ott , .vcd , .dif , .p12 , .vdi , .dip , .PAQ , .vmdk , .djvu , .pas , .vmx , .docb , .pdf , .vob , .docm , .pem , .vsd , .docx , .pfx , .vsdx , .dot , .php , .wav , .dotm , .pl , .wb2 , .dotx , .png , .wk1 , .dwg , .pot , .wks , .edb , .potm , .wma , .eml , .potx , .wmv , .fla , .ppam , .xlc , .flv , .pps , .xlm , .frm , .ppsm , .xls , .gif , .ppsx , .xlsb , .gpg , .ppt , .xlsm , .gz , .pptm , .xlsx , .h , .pptx , .xlt , .hwp , .ps1 , .xltm , .ibd , .psd , .xltx , .iso , .pst , .xlw , .jar , .rar , .zip , .java , .raw
Como identificar se o WannaCry está tentando se espalhar pela minha rede?
Para tentar se espalhar, o WannaCry escaneia IPs da rede local e IPs válidos na Internet buscando pela porta TCP/445. Monitore quantidades excessivas deste tráfego e, principalmente, tentativas de sair para a Internet nesta porta.
Tem assinatura do ataque para conseguir identificá-lo em um SNORT?
Sim, a IBM disponibilizou uma assinatura para o SNORT.
Adianta tentar bloquear os IPs dos servidores que o WannaCry tenta se comunicar?
Algumas empresas divulgaram uma lista de endereços IP dos servidores de controle do WannaCry. Eu acredito que não adianta bloquesr estes IPs, pois como ele usa a rede TOR para se comunicar com os seus servidores, ele pode usar qualquer endereço IP de entrada na rede TOR, que são IPs que variam frequentemente.
Adianta desligar a minha rede e meus computadores?
Há notícias de empresas que optaram por preventivamente destivar sua rede e desligar seus computadores para tentar conter ou evitar a infecção. Para ser sincero, não acho que elas estão erradas, pois isso evitaria a contaminação. Mas o mais importante mesmo é atualizar seus servidores e desktops Windows.
Você deve fazer uma parada emergencial programada no ambiente: primeiro desligar os dispositivos de redes dos usuários (rede física e Wifi) e começar atualizando os servidores. Depois vai religando as redes dos usuários parcialmente e força a atualização das máquinas conforme elas voltam ao ar.
O que fazer se os arquivos foram criptografados pelo WannaCry.
Tenha calma e não pague o resgate! Verifique quando vocês vez backup pela última vez e dê uma olhada no site www.nomoreransom.org se há dicas ou ferramentas para recuperar seus arquivos.
Quanto dinheiro já arrecadado pelos criadores do WannaCry?
Alguns pesquisadores criaram um site para monitorar quanto foi enviado para os criadores do WannaCry (monitorando 3 das carteiras de bitcoins deles): http://howmuchwannacrypaidthehacker.com
Esse ataque pode ser considerado um ato de "cyber guerra"?
NÃO!!! Isso não tem nada a ver com guerra cibernética, que é o conflito entre países ou ideologias. O WannaCry é um ransomware com objetivo de ganhar dinheiro através da extorsão. É um caso de crime cibernético.
Esse ataque foi direcionado a empresas de Telecom?
NÃO!!! Esse é um ransonware que tenta atacar qualquer computador vulnerável que ele encontre na Internet e na rede local. Há relatos de todo tipo de empresa sendo atacada em todo o mundo: banos, hospitais, escolas, empresas de telecom, etc. Não há um alvo específico!
Obviamente as grandes empresas (bancos, teles) são as mais afetadas pois costumam ter grande quantidade de computadores, e algumas vezes falham em mantê-los atualizados.
Qual é a principal lição que deveria ser aprendda com esse ataque?
Que devemos manter nossos sistemas sempre atualizados, aplicando os patches o mais rápido possível.
Tem algum comentário que posso fazer para trollar a galera?
Já tem algumas piadinhas circulando por aí. Que tal...
- Use servidores Linux em vez de Windows.