Nos últimos dias da ultima quinzena do mês de maio do ano corrente, 2017 foi anunciado e os jornais reportam o surto de um Trojam encryptor chamado WannaCry. O pregão é de uma pandemia global. A Kasperky conferiu mais de 45.000 casos de ataques num só dia. Mas o verdadeiro número de ataques e vítimas pode ser bem maior.
Mas o que está a acontecer?
Muitas organizações denunciaram uma infeção simultaneamente. Entre as organizações afectadas contam-se muitos hospitais do Reino Unido. Mas parece que o maior numero de ataques acorreu na Russia. A Ucrania, India, e Taiwan também tiveram muitos danos do WannaCry. Logo no primeiro dia, a Kasperky rastreou o WannaCry em mais de 74 países. Em Angola, com os problemas de energia e uma internet da idade da pedra, a tranquilidade está garantida. Uma tentativa de atacar Angola transformar-se-ia num bumerangue fatal para o sistema atacante.
Embora alguns mapas mostrem Angola entre os paises africanos atingidos
O que é o WannaCry?
O WannaCry é um trojam com dois outros “gordos cavalos” . É antes de mais um exploit cujo propósito é a infeção e a propagação. E, num segundo momento, é um encryptor que é descarregado para um computador depois que este é infectado.
Como exploit o WannaCry diferencia-se dos demais encryptors. Para afectar um computador com um encryptor comum, o usuário deve cometer um erro, por exemplo clicando num link, permitir que o Word execute uma macro maliciosa, ou fazer o download de um anexo suspeito de um email. Um sistema pode ser afectado com o WannaCry sem que o usuário faça algo.
WannaCry: Exploit e propagação
Os criadores do WannaCry aproveitaram-se de um exploit do Windows conhecido como EternalBlue, que aproveita as brechas e vulnerabilidades que a Microsoft corrigiu com uma atualização de segurança, a MS17-010: Security update for Windows SMB Server, a 14 de Março de 2017. A usar o exploit, os malfeitores poderiam obter acesso remoto a computadores e instalar o encryptor.
Para quem tem a referida atualização instalada, a vulnerabilidade perante o WannaCry não existe e das tentativas de hackear o computador remotamente falharão. Embora os pesquisadores da Kasperky procurem enfatizar que o facto de se fazer a correção da vulnerabilidade não seja garantia de segurança total.
Depois de hacker com sucesso um computador, o WannaCry tenta espalhar-se pela rede local e por ela para outros computadores. O encryptor faz a varredura os computadores da rede, verificando os que apresentam a mesma vulnerabilidade com a ajuda do EternalBlue, e quando encontra uma maquina vulnerável, ataca a máquina e encripta todos os ficheiros presentes no computador.
Portanto, ao infectar um computador, o WannaCry pode infectar toda uma rede e encriptar todos os dados dos computadores da rede. Por esta razão, as grandes empresas sofreram mais com o ataque do WannaCry. Quanto mais computadores na rede, maior são os danos.
WannaCry: Encryptor
Como encryptor, o WannaCry(por vezes chamado WCrypt ou, sem nenhuma razão aparente, WannaCry Decryptor) comporta-se como todo e qualquer encryptor; Ele criptografa os ficheiros presente no computador e exige um resgate para descriptografa-los.
O WannaCry criptografa ficheiros de vários tipos incluído documentos do office, imagens, vídeos e ficheiros nos mais variados formatos. A extensão dos ficheiros criptografados será mudada para .WCRY, e os ficheiros ficam completamente inacessíveis.
Depois da infecta, o Trojam altera a imagem do ambiente de trabalho por uma imagem que contem informações sobre a infeção e as ações que o usuário deve seguir e executar para recuperar os ficheiros.
Como de costume, as ações consubstanciam-se na obrigação de fazer a transferência de uma certa quantia de dinheiro, em bitcoins. Inicialmente são exigidos $300, mas aos poucos vão aumentando a fasquia até aos $600 ou mais.
Não se recomenda pagar nenhum resgate. A razão mais convincente para não ceder é que não há nenhuma garantia que eles desencriptem os ficheiros. Está-se a lidar com criminosos, terroristas cibernéticos.
As pesquisas mostram que eles simplesmente apagam os dados do usuário.
Como defender-se contra o WannaCry
Infelizmente, até ao momento (15/05/2017) não existe uma forma de decifrar os ficheiros que foram criptografados pelo WannaCry. Para já, a prevenção é a única esperança.
No entanto algumas operações podem ser feitas para prevenção
- Instalar as atualizações do Windows. O MS17-010 foi disponibilizado inclusive para sistemas operativos já não suportados oficialmente, como o Windows XP ou Windows2003.
- Ter instalado um software de segurança da família dos Internet Security como o Kasperky Internet secutiry, o Norton Internet security (só antivírus, serve a pouco).
- Executar manualmente o software de segurança nas áreas criticas.
- Ver no site do fornecedor do seu software de segurança as indicações para “combater contra” o WannaCry. Cada software de segurança pode ter uma forma diferente de abordar a ameaça.
- Criar backups regulares e coloca-los em dispositivos de armazenamento que não são ligados constantemente à rede ou a algum computador. Dispositivo de armazenamento seguro é aquele fora da rede e quiçá desligado da corrente elétrica (é uma alternativa a não descartar em caso de informação crítica).
Quando se tem copias se segurança feitas em tempos recentes, em caso de infeção de criptografia o resultado não será um tsunami catastrófico. Pode-se passar algumas horas a reinstalar tudo, restaurar recuperar os ficheiros do backup e começar de um ponto que não é necessariamente o zero.
Para fazer o backup de forma automática existem muitos softwares gratuitos e bons.
Para terminar é importante lembrar que o nós mais fraco na cadeia de segurança de um sistema informático é o usuário. E a única forma de prevenir e evitar a “falhas” e vulnerabilidades deste nó é a formação. Formar os usuários é uma garantia de segurança para os sistemas informáticos.
O melhor software de proteção não significará grande investimento com usuários “Marlene” ou “Mana Mandó”.
E convém lembrar sempre. Na segurança informática… “a prevenção é a única esperança”.
Notas e Códigos 