Iniciado em 12 de maio, um enorme ataque cibernético de ransomware, chamado de WannaCry, se espalhou pela rede, criptografando arquivos de dados de vítimas em 150 países. A extorsão do malware afetou milhares de pessoas e enormes instituições em todo o mundo, como a FedEx ou Serviços de Saúde Nacional da Grã-Bretanha, a Telefonica da Espanha, os carros Renault da França e até a polícia estatal da Índia.
Computadores criptografados exibiram notas de resgate de centenas de dólares em bitcoins, sem nenhuma garantia de desbloqueio dos arquivos.
Como o WannaCry se espalha?
A incrível velocidade do WannaCry surpreendeu o mundo, se espalhando para centenas de milhares de computadores infectados em apenas algumas horas. A velocidade e o escopo se devem, em grande parte, a alguns fatores:
Primeiro, ao contrário do seu ransomware “domesticado” que se espalha através de anexos de e-mail ou sites infectados, o WannaCry também incorpora elementos de um worm. Os worms de computador não se espalham ao infectar arquivos como os vírus, mas através de redes, procurando vulnerabilidades em outros computadores conectados. Portanto, assim que um infecta um computador na rede, ele consegue se mover e infectar todos.
O WannaCry usa um exploit do Windows supostamente desenvolvido pela NSA
Segundo, o worm do WannaCry usa um exploit supostamente desenvolvido pela NSA que vazou ao público através da organização de hackers, The Shadow Brokers. O exploit procura por uma vulnerabilidade no protocolo Server Message Block (SMB) do Windows, usado pelos dispositivos para se comunicar em uma rede compartilhada. Especificamente, ele procura por outro PC com a porta Samba TCP 445 acessível.
Até o vazamento, esse exploit era desconhecido do mundo (uma ameaça “zero-day”) e a Microsoft conseguiu lançar uma correção para ele apenas em março. Mas milhões ainda precisam instalar as correções e as versões mais antigas do Windows, para as quais a Microsoft não presta mais suporte, não receberam solicitação de atualização nenhuma. A Microsoft desde então disponibilizou correções até para sistemas mais antigos, se você estiver usando Windows 8 ou anterior, você deve instalá-las imediatamente .
Agora que o gênio saiu da garrafa, podemos esperar ver novas variações desse ransomware.
Segundo, o worm do WannaCry usa um exploit supostamente desenvolvido pela NSA que vazou ao público através da organização de hackers, The Shadow Brokers. O exploit procura por uma vulnerabilidade no protocolo Server Message Block (SMB) do Windows, usado pelos dispositivos para se comunicar em uma rede compartilhada. Especificamente, ele procura por outro PC com a porta Samba TCP 445 acessível.
Até o vazamento, esse exploit era desconhecido do mundo (uma ameaça “zero-day”) e a Microsoft conseguiu lançar uma correção para ele apenas em março. Mas milhões ainda precisam instalar as correções e as versões mais antigas do Windows, para as quais a Microsoft não presta mais suporte, não receberam solicitação de atualização nenhuma. A Microsoft desde então disponibilizou correções até para sistemas mais antigos, se você estiver usando Windows 8 ou anterior, você deve instalá-las imediatamente .
Agora que o gênio saiu da garrafa, podemos esperar ver novas variações desse ransomware.
Quem foi afetado?
Os países mais afetados, de acordo com nossos dados, são (em ordem): Rússia, Ucrânia, Taiwan, Índia, Brasil, Tailândia, Romênia, Filipinas, Armênia e Paquistão. Mais da metade das tentativas de ataque que registramos foi na Rússia.
Grandes instituições também foram muito afetadas, especialmente hospitais e outros serviços públicos. Muitos deles dependem de sistemas desatualizados para operar e simplesmente não atualizam seus sistemas.
Mas muitas pessoas deixaram de instalar as correções de segurança lançadas em março. Versões mais antigas do Windows sem suporte da Microsoft nem tinham correções de segurança para serem instaladas até o final de semana do ataque.
Meu computador está em risco com o WannaCry?
Se estiver usando um computador Windows, você é potencialmente vulnerável a esse ransomware. Esses são alguns procedimentos que você deve realizar imediatamente para ficar protegido:
1. Atualize seu sistema operacional Windows com as correções de segurança mais recentes
A Microsoft lançou atualizações de segurança do Windows para essa vulnerabilidade, quando ela foi divulgada pelos Shadow Brokers em março. Essa falha é tão grave que foram lançadas correções de segurança para versões do Windows que não tinham mais suporte, como o Windows XP e Vista (encontre-as aqui).
No entanto, milhões de usuários ignoraram essas atualizações. Não seja um deles.
2. Se você ainda não fez isso, instale um antivírus atualizado
O exploit da NSA foi reutilizado rapidamente para o mal, por isso, contar com as correções de segurança da Microsoft para os ataques não é suficiente. Uma nova variante provavelmente está sendo trabalhada. Um bom programa antivírus que inclui recursos anti-ransomware é essencial para localizar a ameaça sempre em evolução dos ransomwares.
3. Comece a fazer backups do seu PC.
Se for como a maioria das pessoas, você provavelmente ouviu esse conselho antes e o ignorou. Mas com o baixo preço das unidades de disco externas e a facilidade de se fazer backups, não há desculpa para não ter um. Backups semanais são mais que suficientes para a maioria das pessoas e você pode ser poupado de uma enormidade de problemas caso seja infectado.
4. Fique de olho em e-mails de phishing e links
Embora o componente de worm do WannaCry tenha o ajudado a se espalhar, ele contou com os e-mails de phishing usuais e links ruins para começar. Certifique-se de verificar e-mails e links antes de clicar neles. Não sabe o que está procurando? Temos um teste útil para isso.
O AVG bloqueia o WannaCry?
Sim Todos os produtos de segurança da AVG detectam o ransomware WannaCry. Até mesmo o AVG AntiVirus FREE vai além de detectar assinaturas de código normais e procura pelo comportamento real dos aplicativos instalados. Por isso, mesmo se ele não conhecer uma nova variante, ele poderá encontrá-la quando ela entrar em ação.
Eu estou infectado com o WannaCry. O que devo fazer?
A mesma coisa que torna a criptografia uma ferramenta poderosa quando usada para proteger informações também a torna um problema quando usada para o mal. Se seu computador for infectado com o ransomware WannaCry, você deverá se preparar para a possibilidade de que não seja possível recuperar seus dados. Se estiver infectado, aqui estão algumas recomendações:
1. Não pague o resgate
Não importa o que acontecer, não recomendamos pagar o resgate. Sabemos que isso não parece muito sensível quando suas fotos pessoais ou arquivos de trabalho importantes estão em jogo. Mas não há nenhuma garantia de que seus arquivos serão descriptografados ou que os criminosos não fugirão simplesmente com o dinheiro.
Nunca pague o resgate: não há nenhum garantia que você terá seus arquivos de volta
Pagar apenas torna esses esquemas mais atraentes. Além disso, qualquer contato com os criminosos dará mais chances a eles de infectá-lo com mais malware.
2. Desconecte seu computador da internet
Desplugue o roteador Wi-Fi, retire os cabos ethernet do seu computador. Isole-o da rede assim que possível. Impeça que o malware se espalhe para outras pessoas ou de receber mais instruções de quem o criou.
3. Restaure de um backup
Se você seguiu as práticas recomendadas e tiver um backup em uma unidade de disco externa, você poderá usá-la para recuperar seus dados. Certifique-se de que você limpou completamente seu sistema e reinstalou o Windows completamente antes de conectar seu backup ao seu computador. O ideal é não conectar-se à internet enquanto seu disco rígido de backup estiver conectado, só para garantir.
4. Restaure do Dropbox, Google Drive ou outro armazenamento baseado em nuvem
Se estiver fazendo backup de arquivos através do armazenamento online, é possível que seus arquivos locais foram criptografados e então sincronizados com as nuvens. Por isso, a primeira coisa é dessincronizar seu smartphone, tablet ou qualquer outro dispositivo conectado à nuvem, assim que puder.
Depois, acesse o serviço através de um navegador em um computador não infectado. Você deve conseguir acessar o histórico de versão dos seus arquivos e restaurá-los para estados anteriores, não criptografados.
5. Use uma ferramenta de descriptografia de ransomware
Estamos trabalhando duro em uma ferramenta de descriptografia que pode ser capaz de recuperar seus arquivos. Quando ela estiver pronta, você poderá encontrá-la aqui .
