O que você precisa saber sobre o ransomware WannaCrypt

O TechTudo reuniu informações que podem ajudar a tirar dúvidas sobre como se proteger.


O que é o WannaCrypt?

O WannaCrypt (ou WannaCry) é o vírus Ransom.CryptXXX, do tipo ransomware. Um malware de criptografia que sequestra e bloqueia arquivos e pastas do computador prometendo a devolução apenas mediante pagamento de um resgate em bitcoins (moeda virtual).

WannaCrypt exige pagamento do equivalente a US$ 300 em Bitcoins (Foto: Divulgação/Symantec) WannaCrypt exige pagamento do equivalente a US$ 300 em Bitcoins (Foto: Divulgação/Symantec)

WannaCrypt exige pagamento do equivalente a US$ 300 em Bitcoins (Foto: Divulgação/Symantec)

Que tipo de dados?

Segundo levantamento da Avast, o malware sequestra 178 diferentes tipos de arquivos com as seguintes extensões: .der .pfx .key .crt .csr .p12 .pem .odt .ott .sxw .stw .uot .3ds .max .3dm .ods .ots .sxc .stc .dif .slk .wb2 .odp .otp .sxd .std .uop .odg .otg .sxm .mml .lay .lay6 .asc .sqlite3 .sqlitedb .sql .accdb .mdb .db .dbf .odb .frm .myd .myi .ibd .mdf .ldf .sln .suo .cs .c .cpp .pas .h .asm .js .cmd .bat .ps1 .vbs .vb .pl .dip .dch .sch .brd .jsp .php .asp .rb .java .jar .class .sh .mp3 .wav .swf .fla .wmv .mpg .vob .mpeg .asf .avi .mov .mp4 .3gp .mkv .3g2 .flv .wma .mid .m3u .m4u .djvu .svg .ai .psd .nef .tiff .tif .cgm .raw .gif .png .bmp .vcd .iso .backup .zip .rar .7z .gz .tgz .tar .bak .tbk .bz2 .PAQ .ARC .aes .gpg .vmx .vmdk .vdi .sldm .sldx .sti .sxi .602 .hwp .edb .potm .potx .ppam .ppsx .ppsm .pps .pot .pptm .xltm .xltx .xlc .xlm .xlt .xlw .xlsb .xlsm .dotx .dotm .dot .docm .docb .jpg .jpeg .snt .onetoc2 .dwg .pdf .wk1 .wks .123 .rtf .csv .txt .vsdx .vsd .eml .msg .ost .pst .pptx .ppt .xlsx .xls .docx e também .doc.

Em todos os casos, o WannaCry rescreve o arquivo sequestrado, acrescentando a extensão .WCRY.

Quanto o golpe cobra para devolver os arquivos?

De acordo com especialistas, não há qualquer garantia de que o pagamento do resgate irá resultar na liberação dos arquivos. Neste caso, o vírus pede um resgate de US$ 300 em bitcoins, pagos em até três dias. Caso não seja pago neste prazo, o valor dobra pra US$ 600 em bitcoins. Se o pagamento não ocorrer, e o valor não for depositado na carteira de bitcoin informada em sete dias, os hackers prometem apagar os arquivos para sempre. Segundo a Avast, a ameaça é falsa e os arquivos continuam disponíveis após uma semana. A orientação da empresa é não pagar.

Quanto isso representa em dinheiro?

Atualmente, US$ 300 (cerca de R$ 930) representa uma fração do bitcoin. Ou seja, 017222 bitcoin, na cotação de 16 de março de 2017. O bitcoin é uma moeda virtual, amplamente usada em golpes de vírus ransomware.

O que é o bitcoin?

BitCoin (BTC), é uma unidade monetária online — moeda virtual — que permite a transferência anônima de valores via Internet. Trata-se de uma moeda descentralizada. Ou seja, não conta com nenhum órgão responsável pelo seu gerenciamento. Dessa forma, as transações de BitCoins são feitas a partir da rede de compartilhamentos P2P.

Como esse vírus atingiu tantos computadores?

O sucesso do WannaCrypt se deu com a exploração de uma falha no Windows — único sistema operacional afetado. A Microsoft atribui o aparecimento do malware aos códigos de ferramentas digitais roubados da Agência de Segurança Nacional dos EUA (NSA) no início do ano. Em posse dessas informações, hackers desenvolveram o ransomware. Com o vazamento dessa vulnerabilidade, em 14 de março, a Microsoft liberou uma atualização de segurança. A falha, porém, foi usada no golpe antes que usuários de versões suportadas do Windows instalassem o patch.

Por que "ninguém" instalou a correção?

Apenas aqueles com Windows Update ativado estavam protegidos. Quem optou por fazer a atualização manualmente e não a fez, ou adiou, — mesmo após dois meses — está vulnerável. Um patch de segurança adicional foi lançado para Windows XP, Windows 8 e Windows Server 2003 que, embora descontinuados e sem suporte, ainda são usados por muitas empresas e governos. De acordo com a Microsoft, as máquinas que usam o Windows 10 não foram alvos. Windows 7 e Windows 8, sim.

Quando o vírus apareceu?

O WannaCrypt apareceu na última sexta-feira (12). Serviços de monitoramento de ameaças virtuais de todo o mundo detectaram infecções em computadores corporativos — de empresas e governos — com maior concentração em países da Europa. O golpe, no entanto, se alastrou e chegou também ao Brasil, causando problemas em serviços.

Como o golpe chegou a tantos países?

O ransomware WannaCrypt tem várias versões e cada uma delas tem recursos disponíveis para múltiplos idiomas, incluindo português do Brasil. O código do malware é inteligente e verifica a língua do sistema operacional instalado para abrir com a mensagem sobre o resgate no idioma correto. A tradução, entretanto, parece ser feita de forma automática, com tradutores digitais. Tratando-se de empresas multinacionais, o envio de e-mails, arquivos e compartilhamento de dados pode ter ajudado a propagar o vírus em larga escala pela mundo.

Kasperksy mostra versões em português do WannaCrypt (Foto: Reprodução / Twitter) Kasperksy mostra versões em português do WannaCrypt (Foto: Reprodução / Twitter)

Kasperksy mostra versões em português do WannaCrypt (Foto: Reprodução / Twitter)

Foi um golpe direcionado?

Líder do laboratório Avast, Jakub Kroustek acredita que não. O WannaCrypt não focou em alvos específicos ou tinha objetivos muito específicos. "O vírus atingiu cegamente qualquer máquina que não estivesse com a atualização para a vulnerabilidade mencionada [que a Microsoft corrigiu em março]", disse. Os usuários do Windows XP, por outro lado, ficaram vulneráveis, sem suporte desde 2014. "Mesmo que quisessem fazer o download do patch não poderiam. Agora, a Microsoft liberou uma versão do patch para sistemas operacionais mais antigos", completa.

Qual é o seu impacto?

Qualquer computador Windows não corrigido é potencialmente vulnerável ao WannaCrypt. As organizações e empresas estão particularmente em risco devido a um detalhe técnico. O código do WannaCrypt se espalha como um worm por redes — conexões muito comuns em ambientes corporativos. A falha de segurança está exatamente no SMBv1, uma versão do protocolo de comunicação que foi criado para compartilhar pastas de arquivos e também impressoras.

A Kaspersky confirma que o ransomware infecta vítimas explorando uma vulnerabilidade do Windows descrita e corrigida no Boletim de Segurança da Microsoft de número MS17-010 e que o exploit usado, "Eternal Blue", foi revelado no vazamento dos Shadowbrokers, na data de 14 de abril.

Especialista sênior da Kaspersky para o Brasil, Fábio Assolini explica que, exceto pelo paciente zero (aquele que foi infectado primeiro), a propagação do vírus em rede é automática. "Não requer nenhuma interação da vítima como clicar em e-mail ou site com phishing", disse. Para o pesquisador, essa é a principal novidade neste caso que envolve ransomware. "Como na maioria dos ataques de ramsonware, havia sempre o fator humano por trás, você tinha que receber e abrir para executar o arquivo. Quando falamos em worm, é tudo automático", completa.

O que é SMB?

A falha de segurança do Windows usada no golpe está no SMBv1 (Server Message Block), a primeira versão do protocolo de comunicação criado para compartilhar arquivos e também impressoras em rede. O protocolo foi criado na década de 80 e, desde então, ganhou outras versões como: SMBv2 e SMBv3. Sendo assim, faz parte do Windows há muitos anos, abrigando a falha em edições tão antigas quanto o Windows XP.

Quem foi infectado primeiro?

Segundo relatório da fabricante do Norton Antivírus, o paciente zero — o primeiro computador em uma organização infectado — permanece não confirmado e sob investigação. "A Symantec viu alguns casos do WannaCry sendo hospedado em sites maliciosos. Entretanto, parecem ser cópias variantes de ataques, não relacionados aos ataques originais".

Toda a indústria de segurança digital, no momento, está procurando o chamado "paciente zero". Essa primeira vítima, que levou o vírus para a rede, foi infectada de forma diferente. Há quem acredite em phishing por e-mail, ataque remoto de força bruta ou mesmo invasão de servidores.

O que o vírus instala no computador?

Segundo a Avast, os nomes de arquivos usados pelo vírus são os mesmos em todas as versões. Computadores infectados ganham pastas que ficam com os seguintes arquivos no disco rídigo.

  • [msg] - Subdiretório com mensagens pedindo resgate, em 28 línguas
  • [TaskData] - O cliente TOR completo
  • @Please_Read_Me@.txt - em todas as pastas com arquivos criptografados
  • @WanaDecryptor@.exe - O principal arquivo do ransomware
  • 00000000.eky - Chave RSA (criptografada) específica de sessão
  • 00000000.pky - Chave RSA pública específica de sessão
  • b.wnry - o wallpaper (BMP) do resgate
  • c.wnry - endereços dos nós da rede TOR + bitcoin wallet
  • f.wnry - lista dos arquivos que podem ser decodificados de graça
  • s.wnry - arquivo ZIP contendo o cliente TOR
  • t.wnry - Arquivo criptografado com as chaves default/padrão
  • u.wnry - GUI do ransomware

Arquivos instalados pelo WannaCrypt no computador Windows (Foto: Reprodução / Avast) Arquivos instalados pelo WannaCrypt no computador Windows (Foto: Reprodução / Avast)

Arquivos instalados pelo WannaCrypt no computador Windows (Foto: Reprodução / Avast)

Eu preciso me preocupar?

Segundo Assolini, não é comum um notebook de usuário padrão estar conectado em rede. "O SMB esta presente em todas as versões do Windows. Mas em PCs de uso doméstico o sistema vem com SMB desativado por padrão", afirmou ao TechTudo. Entretanto, o pesquisador explica que se o dono da máquina conectá-la em uma rede infectada e o seu computador estiver vulnerável, a máquina pode ser contaminada.

Ou, ainda, se cópias do vírus forem abrigadas em sites, enviadas por e-mail com arquivos maliciosos e outros meios, esse mesmo vírus pode atingir máquinas de computadores domésticos. No entanto, vai exigir participação do usuário no processo, baixando os arquivos, por exemplo.

"Todo mundo deve se preocupar com este ataque, porque mostra o quanto estamos vulneráveis. O que podemos aprender com isto é que precisamos atualizar os sistemas operacionais sempre que uma versão nova estiver disponível", argumentou o líder do laboratório Avast, Jakub Kroustek.

Sendo assim, siga as cartilhas de segurança que orientam a manter a atualização dos softwares para sentir-se seguro. Se você usa uma versão antiga do Windows, esse pode ser o "empurrãozinho" ideal para buscar um sistema operacional mais novo e com suporte de segurança.

Qual patch eu preciso instalar?

Usuários do Windows pode acessar o Windows Update e verificar a existência do MS17-010, uma atualização de segurança para o servidor Windows SMB. Você pode conferir mais detalhes técnicos sobre o update em (support.microsoft.com/pt-br/help/4013389/title). Você também pode ativar de forma permanente o Windows Update no computador e receber atualizações automaticamente sempre que houver correções.

Em todas as versões do Windows?

Sim, o ideal é instalar o patch em todas as versões do Windows. A Microsoft já havia publicado um patch para versões suportadas: Windows 7, Windows 8 e Windows 10. Porém, versões anteriores, que perderam o suporte, não recebem mais atualizações de segurança e permaneceram vulneráveis. De emergência, a empresa também soltou atualizações para o Windows XP, o Windows 8 e o Server 2003 na turbulenta sexta-feira (12).

O Windows 10 está livre?

O código usado pelo vírus usa a primeira versão do SMB e não ataca automaticamente o Windows 10, que usa versões mais novas e mais seguras do mesmo. Entretanto, o vírus pode infectar o Windows 10 se for executado de outra maneira, como citado acima, fazendo o download de um arquivo executável via anexo ou link malicioso enviado por e-mail. Portanto, fique em dia com todas as atualizações do Windows Update. Você também pode desativar o SMBv1 no seu computador.

O que mais eu posso fazer?

Antes de mais nada, ainda que você não tenha sua máquina infectada, é importante realizar todos os updates e cercar-se de boas práticas. Ter um bom antivírus na máquina ajuda a barrar comportamento anômalo na execução de arquivos maliciosos como o próprio vírus ransomware.

"O antivírus bloqueia ações por comportamento estranho na máquina, como a alta velocidade de leitura e rescrição de arquivos, de cerca de mil por segundo, realizada por um ramsonware, por exemplo", diz Assolini.

É verdade que o ransomware foi bloqueado?

Foi descoberta uma forma de desativar a propagação o WannaCrypt relacionada a um domínio. Para seguir contaminando mais PCs, o vírus verificava se um determinado site estava no ar ou não. Um britânico comprou o endereço de Internet citado no código por US$ 10,69 (cerca de R$ 33). Ao registrar e tomar posse, ativou um mecanismo de pausa. O WannaCrypt tinha um botão de desligamento proposital vinculado a um domínio não registrado. Se os criminosos quisessem inutiliza-lo a qualquer momento, bastaria registrar o site de forma anônima.

E isso acaba com a ameaça completamente?

Não necessariamente. Ao desativar um domínio citado no código de uma das versões do vírus, esta reduz sua propagação significativamente. Entretanto, caso os PCs estejam em rede interna, mas não conectados à Internet no momento da infecção, fazendo uso de proxy ou outra particularidade, é possível que o vírus siga se alastrando, já que não será possível acessar o domínio. Versões sem a verificação online também podem circular, perpetuando o ciclo do ransomware. "A campanha ainda não terminou, mas já perdeu bastante força", disse Kroustek.

É possível desencriptar arquivos cifrados?

Parece impossível recuperar os arquivos cifrados. Em todo caso, vírus do tipo ransomware têm um chave mestra, que pode ser usada pelas vítimas caso seja descoberta ou caso os cibercriminosos desistam e liberem o código espontaneamente. Até o momento, ninguém encontrou a chave mestra. "Não existe uma ferramenta de decodificação para usuários de PCs já contaminados", diz Kroustek, da Avast.

É verdade que o Disk Drill consegue recuperar arquivos?

A Symantec, no entanto, publicou um relatório em que cita que um software antigo que recupera arquivos excluídos, o Disk Drill, consegue desencriptar alguns dados cifrados pelo vírus. Segundo a empresa, se você tiver cópias dos arquivos afetados, poderá restaurá-los. Em alguns casos, porém, os arquivos podem ser recuperados sem backups. Segundo a empresa, arquivos salvos na Área de Trabalho (Desktop), na pasta Meus Documentos ou em uma unidade removível (HD externo) são criptografados [ganham extensão .WCRY.] e suas cópias originais são apagadas. Estes não são recuperáveis. "Os arquivos armazenados em outro lugar no computador são criptografados e suas versões originais são simplesmente excluídas. Isso significa que poderiam ser recuperadas usando uma ferramenta undelete", explica. Já há relatos positivos.

Tela mostra Disk Drill recuperando alguns arquivos cifrados (Foto: Reprodução / Symantec) Tela mostra Disk Drill recuperando alguns arquivos cifrados (Foto: Reprodução / Symantec)

Tela mostra Disk Drill recuperando alguns arquivos cifrados (Foto: Reprodução / Symantec)

Questionado se com o Disk Drill é possível recuperar dados, o especialista da Kaspersky previne o usuário a não ir com muita sede ao pote. "A vítima não vai conseguir recuperar tudo, infelizmente. Provavelmente, apenas arquivos fora das pastas comuns", disse Assolini.

Ainda de acordo com a Symantec, como um adicional de segurança, recuse qualquer oferta de serviços milagrosos para desencriptar arquivos. Esses decodificadores podem ser malwares disfarçados.

Tive uma máquina infectada, e agora?

Entre as dicas dos especialistas, para quem foi vítima de um golpe como esse, é importante fazer uma restauração do computador, com uma reinstalação do sistema operacional, para não deixar vestígios do vírus e torna-se uma vítima novamente. Instalar todos os updates disponíveis após a reinstalação do software e uma boa solução antivírus na máquina.

E o macOS e o Linux?

A ameça só afeta usuários de Windows — sistema operacional no olho do furação, cuja falha permitiu a propagação em massa, via redes, do ransomware. Outros sistemas operacionais como macOS, Linux, ou mesmo versões móveis como Android e iOS não foram afetados pela campanha. "[macOS e Linux] não foram afetados por esse ransomware, em particular, que se espalhou por meio de um exploit no sistema operacional Windows", encerra Kroustek, líder do laboratório Avast.

WannaCrypt: alguém já pagou bitcoins para ter de voltar arquivos bloqueados por ransomware? Veja no Fórum do TechTudo.

MAIS DO TechTudo