Conforme relatado pela mídia russa, o trabalho dos departamentos do Ministério de Assuntos Internos em várias regiões da Rússia foi interrompido devido a um ransomware que infectou muitos computadores e ameaça destruir todos os dados. Além disso, a operadora de comunicações Megafon foi atacada.

Estamos falando do Trojan ransomware WCry (WannaCry ou WannaCryptor). Ele criptografa as informações no computador e exige um resgate de US$ 300 ou US$ 600 em Bitcoin para descriptografia.

@[e-mail protegido], arquivos criptografados, extensão WNCRY. São necessários um utilitário e instruções de descriptografia.

WannaCry criptografa arquivos e documentos com as seguintes extensões adicionando .WCRY ao final do nome do arquivo:

Lay6, .sqlite3, .sqlitedb, .accdb, .java, .class, .mpeg, .djvu, .tiff, .backup, .vmdk, .sldm, .sldx, .potm, .potx, .ppam, .ppsx, .ppsm, .pptm, .xltm, .xltx, .xlsb, .xlsm, .dotx, .dotm, .docm, .docb, .jpeg, .onetoc2, .vsdx, .pptx, .xlsx, .docx

Ataque WannaCry em todo o mundo

Os ataques foram registrados em mais de 100 países. A Rússia, a Ucrânia e a Índia enfrentam os maiores problemas. Relatos de infecção por vírus vêm do Reino Unido, EUA, China, Espanha e Itália. Observa-se que o ataque hacker afetou hospitais e empresas de telecomunicações em todo o mundo. Um mapa interativo da propagação da ameaça WannaCrypt está disponível na Internet.

Como ocorre a infecção?

Como dizem os usuários, o vírus entra em seus computadores sem qualquer ação de sua parte e se espalha incontrolavelmente pelas redes. No fórum da Kaspersky Lab apontam que mesmo um antivírus habilitado não garante segurança.

É relatado que o ataque de ransomware WannaCry (Wana Decryptor) ocorre por meio da vulnerabilidade do Boletim de Segurança da Microsoft MS17-010. Em seguida, um rootkit foi instalado no sistema infectado, com o qual os invasores lançaram um programa de criptografia. Todas as soluções da Kaspersky Lab detectam este rootkit como MEM:Trojan.Win64.EquationDrug.gen.

A infecção supostamente ocorreu alguns dias antes, mas o vírus só se manifestou depois de criptografar todos os arquivos do computador.

Como remover WanaDecryptor

Você poderá remover a ameaça usando um antivírus; a maioria dos programas antivírus já detectará a ameaça. Definições comuns:

Avast Win32: WanaCry-A , Média Ransom_r.CFY, Avira TR/FileCoder.ibtft, BitDefender Trojan.Ransom.WannaCryptor.A, DrWeb Trojan.Encoder.11432, ESET-NOD32 Win32/Filecoder.WannaCryptor.D, Kaspersky Trojan-Ransom.Win32.Wanna.d, Malwarebytes Resgate.WanaCrypt0r, Microsoft Resgate:Win32/WannaCrypt, Panda Trj/RansomCrypt.F, Symantec Trojan.Gen.2, Ransom.Wannacry

Se você já lançou a ameaça em seu computador e seus arquivos foram criptografados, descriptografar os arquivos é quase impossível, pois a exploração da vulnerabilidade inicia um criptografador de rede. No entanto, várias opções de ferramentas de descriptografia já estão disponíveis:

Observação: Se seus arquivos foram criptografados e não há cópia de backup, e as ferramentas de descriptografia existentes não ajudaram, é recomendável salvar os arquivos criptografados antes de limpar a ameaça do seu computador. Eles serão úteis se uma ferramenta de descriptografia que funcione para você for criada no futuro.

Microsoft: Instale atualizações do Windows

A Microsoft disse que os usuários com o antivírus gratuito da empresa e a Atualização do Sistema Windows habilitados estarão protegidos contra ataques do WannaCryptor.

As atualizações datadas de 14 de março corrigem a vulnerabilidade do sistema através do qual o Trojan ransomware é distribuído. A detecção de hoje foi adicionada aos bancos de dados de antivírus do Microsoft Security Essentials/Windows Defender para proteção contra um novo malware conhecido como Ransom:Win32.WannaCrypt.

• Certifique-se de que seu antivírus esteja ativado e que as atualizações mais recentes estejam instaladas.
• Instale um antivírus gratuito se o seu computador não tiver nenhuma proteção.
• Instale as atualizações mais recentes do sistema usando o Windows Update:
  • Para Janelas 7, 8.1 No menu Iniciar, abra Painel de Controle > Windows Update e clique em Pesquisar atualizações.
  • Para Janelas 10 Vá para Configurações > Atualização e segurança e clique em "Verificar atualizações"..
• Se você instalar as atualizações manualmente, instale o patch oficial da Microsoft MS17-010, que aborda a vulnerabilidade do servidor SMB usada no ataque de ransomware WanaDecryptor.
• Se o seu antivírus tiver proteção contra ransomware, ative-o. Também temos uma seção separada em nosso site, Proteção contra Ransomware, onde você pode baixar ferramentas gratuitas.
• Execute uma verificação antivírus em seu sistema.

Os especialistas observam que a maneira mais fácil de se proteger contra um ataque é fechar a porta 445.

• Digite sc stop lanmanserver e pressione Enter
• Digite para Windows 10: sc config lanmanserver start=disabled , para outras versões do Windows: sc config lanmanserver start= disabled e pressione Enter
• Reinicie seu computador
• No prompt de comando, digite netstat -n -a | findstr "OUVINDO" | findstr ":445" para garantir que a porta esteja desabilitada. Se houver linhas vazias, a porta não está escutando.

Se necessário, abra a porta novamente:

• Execute o prompt de comando (cmd.exe) como administrador
• Digite para Windows 10: sc config lanmanserver start=auto , para outras versões do Windows: sc config lanmanserver start= auto e pressione Enter
• Reinicie seu computador

Observação: A porta 445 é usada pelo Windows para compartilhamento de arquivos. Fechar esta porta não impede que o PC se conecte a outros recursos remotos, mas outros PCs não conseguirão se conectar ao sistema.