Na última sexta-feira, 12 de maio, um ataque massivo de ransomware afetou diversas organizações na Europa e América Latina. Esse tipo de ataque afeta sistemas Windows cifrando diversos arquivos em discos rígidos, pendrives e unidades de rede podendo, assim, se propagar a outros equipamentos que estejam conectados na mesma rede.
Descrição:
O ransomware, conhecido pelas variantes de WannaCry ou HydraCrypt, infecta computadores utilizando o sistema operacional Microsoft Windows através de uma vulnerabilidade no serviço SMB, utilizado para o compartilhamento de arquivos via rede.
Quando o usuário executa um arquivo malicioso enviado pelo atacante, normalmente um arquivo compactado do tipo RAR, inicia-se um processo de cifragem de arquivos no computador da vítima. Além disso, conforme dito anteriormente, o ransomware pode propagar-se através da rede local. Isto é, outras máquinas, que executem o mesmo sistema operacional, podem ser afetadas.
Quando o computador é afetado, os arquivos cifrados passam a ser identificados pela extensão ".wcry". Após este processo, é solicitada à vítima o pagamento de uma taxa para envio da chave que poderá decifrar os dados. Porém, de acordo com relatos conhecidos, o pagamento da taxa de resgate ao usuário malicioso não garante que o mesmo irá enviar a chave para decifrar os arquivos, o que torna importante realizar regularmente o backup dos arquivos para recuperação quando necessário.
Por distração ou falta de conhecimento, muitos de nossos usuários têm o hábito de abrir mensagens recebidas que jamais foram solicitadas, como por exemplo, recadastramento de senhas de banco ou dados pessoais. Esses falsos correios eletrônicos costumam conter textos que os convidam a baixar anexos comprometidos ou ainda clicar em links desconhecidos.
Recomendamos, também, a todos os administradores de redes e sistemas que verifiquem a integridade das cópias de segurança dos arquivos da sua responsabilidade, assim como suas rotinas de backup.
Não abram mensagens e arquivos suspeitos, nem cliquem em links desconhecidos!
Sistemas impactados:
Windows Vista SP2
Windows Server 2008
Windows Server 2008 R2
Windows 7
Windows 8.1
Windows Server 2012
Windows Server 2012 R2
Windows 10
Windows Server 2016
É recomendada a aplicação URGENTE das correções disponíveis para os sistemas vulneráveis!
Correções disponíveis:
- Aplicar as correções de segurança recomendadas no link abaixo:
www.catalog.update.microsoft.com/
Ações recomendadas:
• Aplicar as correções de segurança para o seu sistema operacional.
• Atualizar as soluções de antimalware para suas últimas versões disponibilizadas pelos desenvolvedores.
• Realizar cópias de segurança de arquivos e sistemas e aplicar medidas para assegurar sua integridade e funcionamento.
A Computers Service Informática recomenda que os administradores e usuários mantenham seus sistemas e aplicativos sempre atualizados, de acordo com as últimas versões e correções oferecidas pelos fabricantes.
A segurança é um dever de todos. Para garantir o bom funcionamento da nossa infraestrutura de dados, fiquem atentos às boas práticas! (https://cartilha.cert.br/)
Mais informações:
1- www.techtudo.com.br/noticias/noticia/2016/06/o-que-e-ransomware.html
2- www.rnp.br/sites/default/files/vulnerabilidade_servico_smbv1_da_microsoft.pdf
3- www.microsoft.com/security/portal/threat/encyclopedia/Entry.aspx?Name=Ransom:Win32/WannaCrypt
4- https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks
5- https://support.microsoft..com/en-us/help/2696547/how-to-enable-and-disable-smbv1,-smbv2,-and-smbv3
6- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-0147
7- https://technet.microsoft.com/en-us/library/security/ms17-010.aspx
8- www.virustotal.com/en/file/
9- https://intel.malwaretech.com/WannaCrypt.html
10- www.hybrid-analysis.com/sample/
11- www..theguardian.com/society/2017/may/12/hospitals-across-england-hit-by-large-scale-cyber-attack
12- https://cartilha..cert.br/
Nenhum comentário:
Postar um comentário