Ontem, 12 de maio, computadores que executam sistemas operacionais Windows em todo o mundo foram submetidos ao maior ataque da história recente. Estamos falando de um pertencente à classe Ransomware, ou seja, ransomware malicioso que criptografa arquivos de usuários e exige resgate para restaurar o acesso a eles. Neste caso, estamos falando de valores de US$ 300 a US$ 600, que a vítima deve transferir para uma carteira específica em bitcoins. O tamanho do resgate depende do tempo decorrido desde a infecção - após um certo intervalo ele aumenta.

De acordo com « Laboratório Kaspersky » , WannaCry foi mais difundido na Rússia

Para evitar se juntar àqueles cujos computadores estão infectados, é necessário entender como o malware penetra no sistema. Segundo a Kaspersky Lab, o ataque aproveita uma vulnerabilidade no protocolo SMB, que permite a execução remota de código de programa. É baseado na exploração EternalBlue, criada dentro dos muros da Agência de Segurança Nacional dos EUA (NSA) e disponibilizada publicamente por hackers.

A Microsoft introduziu uma correção para o problema do EternalBlue no boletim MS17-010 datado de 14 de março de 2017, portanto, a primeira e mais importante medida para proteção contra o WannaCry deve ser instalar esta atualização de segurança para Windows. É o facto de muitos utilizadores e administradores de sistema ainda não o terem feito que foi a razão para um ataque em tão grande escala, cujos danos ainda não foram avaliados. É verdade que a atualização foi projetada para as versões do Windows para as quais o suporte ainda não foi encerrado. Mas a Microsoft também lançou patches para sistemas operacionais legados, como Windows XP, Windows 8 e Windows Server 2003. Você pode baixá-los nesta página.

Recomenda-se também ficar atento aos mailings que chegam por e-mail e outros canais, utilizar um antivírus atualizado em modo de monitoramento e, se possível, verificar se há ameaças no sistema. Se a atividade do MEM:Trojan.Win64.EquationDrug.gen for detectada e eliminada, reinicie o sistema e certifique-se de que o MS17-010 esteja instalado. Atualmente, são conhecidos oito nomes do vírus:

• Trojan-Ransom.Win32.Gen.djd;
• Trojan-Ransom.Win32.Scatter.tr;
• Trojan-Ransom.Win32.Wanna.b;
• Trojan-Ransom.Win32.Wanna.c;
• Trojan-Ransom.Win32.Wanna.d;
• Trojan-Ransom.Win32.Wanna.f;
• Trojan-Ransom.Win32.Zapchast.i;
• PDM:Trojan.Win32.Generic.

Vírus « possui » muitos idiomas

Não devemos esquecer os backups regulares de dados importantes. Observe que o WannaCry tem como alvo as seguintes categorias de arquivos:

• os documentos de escritório mais comuns (.ppt, .doc, .docx, .xlsx, .sxi).
• alguns tipos de documentos menos populares (.sxw, .odt, .hwp).
• arquivos e arquivos de mídia (.zip, .rar, .tar, .bz2, .mp4, .mkv)
• arquivos de e-mail (.eml, .msg, .ost, .pst, .edb).
• bancos de dados (.sql, .accdb, .mdb, .dbf, .odb, .myd).
• arquivos de projeto e códigos-fonte (.php, .java, .cpp, .pas, .asm).
• chaves de criptografia e certificados (.key, .pfx, .pem, .p12, .csr, .gpg, .aes).
• formatos gráficos (.vsd, .odg, .raw, .nef, .svg, .psd).
• arquivos de máquina virtual (.vmx, .vmdk, .vdi).

E para concluir: se a infecção não puder ser evitada, você ainda não poderá pagar aos invasores. Em primeiro lugar, mesmo que o dinheiro seja transferido para a carteira Bitcoin especificada, ninguém garante a desencriptação dos ficheiros. Em segundo lugar, não se pode ter a certeza de que um ataque ao mesmo computador não se repetirá e que os cibercriminosos não exigirão um grande montante de resgate. E, finalmente, em terceiro lugar, pagar pelo “serviço” de desbloqueio recompensará aqueles que realizam atividades criminosas na Internet e servirá de incentivo para que realizem novos ataques.