Em 12 de maio, 2017, uma nova variante da estirpe Ransom.CryptXXX (WannaCry) de ransomware começou a se espalhar amplamente impactando um grande número de organizações, particularmente na Europa.

Qual é o ransomware WannaCry?

WannaCry criptografa arquivos de dados e solicitar aos usuários a pagar uma US $ 300 resgate em bitcoins. A nota de resgate indica que o valor do pagamento será duplicado depois de três dias. Se o pagamento não é feito depois de sete dias, os arquivos criptografados serão excluídos.

Figura nota de demanda 1 Ransom exibido pelo WannaCry Trojan

Ele também cria um arquivo chamado! Please Read Me! .txt que contém o texto explicando o que aconteceu e como pagar o resgate.

Figura nota de demanda 2 Ransom de WannaCry Trojan

WannaCry criptografa arquivos com as seguintes extensões, acrescentando .WCRY ao final do nome do arquivo:

• .lay6
• .sqlite3
• .sqlitedb
• .accdb
• .java
• .class
• .mpeg
• .djvu
• .tiff
• .backup
• .vmdk
• .sldm
• .sldx
• .potm
• .potx
• .ppam
• .ppsx
• .ppsm
• .pptm
• .xltm
• .xltx
• .xlsb
• .xlsm
• .dotx
• .dotm
• .docm
• .docb
• .jpeg
• .onetoc2
• .vsdx
• .pptx
• .xlsx
• .docx

Ele propaga a outros computadores através da exploração de uma vulnerabilidade de execução conhecido SMBv1 remota de código em computadores Microsoft Windows: MS17-010

Onde a Microsoft orienta em desabilitar o SMBv1 para windows vista ou mais antigos, ou remover a opção de CIFS SMB1 para windows mais novos.

Estou protegido contra esta ameaça?

Clientes que utilizam antivirus corporativos e estão atualizados dentro após o dia 14/03 devem estão protegidos contra WannaCry usando uma combinação de tecnologias. Desta forma devem consultar seus fabricantes de antivirus. Os seguintes detecções estão em vigor:

Antivirus

• Ransom.CryptXXX
• Trojan.Gen.8!Cloud
• Trojan.Gen.2
• Ransom.Wannacry

Intrusion Prevention System

• 21179 (OS Attack: Microsoft Windows SMB Remote Code Execution 3)
• 23737 (Attack: Shellcode Download Activity)
• 30018 (OS Attack: MSRPC Remote Management Interface Bind)
• 23624 (OS Attack: Microsoft Windows SMB Remote Code Execution 2)
• 23862 (OS Attack: Microsoft Windows SMB Remote Code Execution)
• 30010 (OS Attack: Microsoft Windows SMB RCE CVE-2017-0144)
• 22534 (System Infected: Malicious Payload Activity 9)
• 23875 (OS Attack: Microsoft SMB MS17-010 Disclosure Attempt)
• 29064 (System Infected: Ransom.Ransom32 Activity)

As organizações também devem garantir que eles tenham as últimas atualizações de segurança do Windows instalados, em especial MS17-010 para evitar a propagação.

Quem é afetado?

Uma série de organizações em todo o mundo foram afetados.

É este um ataque direcionado?

Não, isso não é acreditado para ser um ataque direcionado neste momento. campanhas ransomware são tipicamente indiscriminada.

Por que é que causa tantos problemas para as organizações?

WannaCry tem a capacidade de se espalhar dentro de redes corporativas, sem interação do usuário, através da exploração de uma vulnerabilidade conhecida no Microsoft Windows. Computadores que não têm as últimas atualizações de segurança do Windows aplicadas estão em risco de infecção.

Posso recuperar os arquivos criptografados?

Descriptografia não está disponível neste momento. A Securitybox não recomenda pagar o resgate, já que o dinheiro será utilizado para terrorismo. Os arquivos criptografados deve ser restaurado a partir de back-ups sempre que possível.

Quais são as melhores práticas para proteger contra ransomware?

• Novas variantes ransomware aparecem em uma base regular. Sempre mantenha o seu software de segurança atualizado para se proteger contra eles.

• Mantenha seu sistema operacional e outros softwares atualizados. As atualizações de software freqüentemente incluem patches para vulnerabilidades de segurança recém-descobertas que poderiam ser exploradas por atacantes ransomware.

• E-mail é um dos principais métodos de infecção. Desconfie de e-mails inesperados, especialmente se eles contêm links e / ou anexos.

• Seja extremamente cuidadoso de qualquer anexo de e-mail Microsoft Office que aconselha a ativar macros para ver seu conteúdo. A menos que você tenha certeza absoluta de que este é um verdadeiro e-mail de uma fonte confiável, não ativar macros e, em vez excluir imediatamente o e-mail.

• Fazer o backup de dados importantes é a maneira mais eficaz de combater a infecção ransomware. Os atacantes têm influência sobre suas vítimas, criptografando arquivos importantes e deixando-os inacessíveis. Se a vítima tiver cópias de segurança, eles podem restaurar seus arquivos, uma vez que a infecção tenha sido limpa. No entanto as organizações devem garantir que os back-ups são adequadamente protegidos ou armazenados off-line para que os atacantes não pode excluí-los.

• Usando os serviços em nuvem pode ajudar a mitigar a infecção ransomware, uma vez que muitos reter versões anteriores de arquivos, permitindo que você “reverter” a forma não criptografada.

0

0