Últimas

Avast atualiza informações sobre o WannaCry: quem foi afetado, quais eram os alvos, como removê-lo e mais

Por Jakub Kroustek, líder da equipe do Threat Lab da Avast

Ainda que a sexta-feira dia 12 de Maio não fosse sexta-feira 13, bem que parecia. Computadores em todo o mundo, incluindo os de hospitais e agências governamentais, foram alvo do ransomware WannaCry (também chamado do WanaCrypt0r ou WCry), criando o caos. Até o momento, registramos mais de 250.000 detecções dele em 116 países. Isso significa que mais de 250.000 usuários do Avast foram atingidos pelo ransomware, mas foram protegidos já que o Avast impediu que esse ransomware infectasse os seus computadores. A situação se acalmou e podemos concluir que foi o maior ataque de ransomware da história.

Cerca de 15% dos mais de 400 milhões de usuários do Avast não corrigiram a falha do Windows (MS17-010) que os deixaria vulneráveis a este ataque caso não estivessem protegidos pelo Avast.


Na tarde do dia 12, mais de 50.000 usuários haviam sido alvo do ransomware. No início da madrugada de sábado, o número de detecções já havia crescido para mais de 100.000.

Por onde o WannaCry andou

Vemos abaixo um gráfico mostrando as ondas de detecção subindo e baixando hora após hora.



O Avast detecta todos os componentes do WannaCry - não somente as variantes incluídas no worm (vetor de infecção), mas também aquelas que simplesmente criptografam os arquivos e desaparecem e não infectam outros computadores. O worm é quem determina como o WannaCry se espalha (veja explicação abaixo). Alguns pesquisadores dizem que a disseminação acabou, mas isso só é verdade para esta variante do WannaCry que se espalhou com este worm específico.

Detectamos cerca de 10.000 ataques por hora logo após a crise, o que é realmente um número alto para uma simples família de malware.

Depois que um pesquisador de malwares apertou o botão de desligar (veja adiante neste artigo), o número de detecções diminuiu significativamente até atingir 2.000 por hora, no início da noite de sexta-feira. O número dos ataques vem diminuindo desde aquele momento e esperamos que esta tendência continue assim.

Os 10 países mais atingidos, de acordo com os nossos dados, são (pela ordem): Rússia, Ucrânia, Taiwan, Índia, Brasil, Tailândia, Romênia, Filipinas, Armênia e Paquistão. Mais da metade das tentativas de ataque em toda a nossa base de usuários foi bloqueada na Rússia.



Quem eram os alvos do WannaCry?

O WannaCry, como a maioria das outras linhagens de ransomwares, não tinha um alvo específico. O ransomware usava o aplicativo ETERNALBLUE, que se aproveitava da falha MS17-010 do Windows SMB (em inglês, Server Message Block, que é um protocolo de compartilhamento de arquivos em rede). Portanto, o WannaCry escolhe seus alvos de forma aleatória entre todos aqueles computadores que não haviam corrigido essa falha com a atualização que a Microsoft havia publicado em Março.

O WannaCry se espalha dessa forma agressiva porque cada computador Windows conectado a uma rede onde exista a falha MS17-010 pode ser infectado sem que o usuário tenha de fazer nada. Assim que esteja ativo no computador, o malware faz uma varredura das redes locais e escolhe endereços IP aleatoriamente. Cada vez que encontra um computador vulnerável, também infecta aquele computador.

Os usuários do Windows XP estavam sem nenhuma defesa contra o ataque. A Microsoft deixou de dar suporte a esse sistema operacional em 2014. Por isso, se usuários do XP quisessem baixar uma atualização, não poderiam. Depois do ataque, a Microsoft lançou uma atualização extraordinária o XP.

Embora o Windows XP seja o mais vulnerável, a maioria das tentativas de infecção ocorreu em sistemas como o Windows 7, em computadores onde a atualização de segurança existente não havia sido instalada. Nós recomendamos urgentemente a todos que ainda não o fizeram que baixem e instalem essa atualização, incluindo aqueles que usam uma antiga versão do Windows.

Grandes empresas, como a Telefonica e Deutsche Bahn foram afetadas pelo ataque, mas o pior é que hospitais no mundo todo foram afetados. Os hospitais frequentemente não dispõem de orçamento para manter os seus sistemas atualizados e, por isso, foram severamente atingidos na sexta-feira, o que afetou gravemente o atendimento dos pacientes.

Removendo o WannaCry
Remover o WannaCry de um computador não é difícil. Os antivírus devem ser capazes de remover o ransomware e enviar os arquivos maliciosos para quarentena, mas isso não resolve todo o problema: os arquivos do usuário permanecem criptografados.

No momento, não existe uma ferramenta de descriptografia disponível e, com base na nossa análise, a criptografia utilizada parece muito forte (AES-128 combinada com RSA-2048). A melhor solução para um computador infectado é recuperar os arquivos de um backup, se estiver disponível. Você deve fazer isto em um computador que não esteja infectado, com todas as atualizações instaladas e, para sua segurança, faça essa recuperação sem estar conectado à internet ou a uma rede interna, para minimizar o risco de que também os arquivos de backup sejam criptografados.

O interruptor
Um pesquisador conhecido no Twitter como MalwareTech descobriu no código do malware um "interruptor" que bloqueou a disseminação da variante mais comum do WannaCry. Não se sabe ao certo por que existe um interruptor. Acreditamos que ele tenha sido incluído no ransomware caso o grupo por trás do WannaCry quisesse bloqueá-lo. O interruptor funciona da seguinte forma: se o WannaCry faz um pedido a um domínio específico, por exemplo, www[.]iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea[.]com (duvidamos muito que você tente memorizar o nome do domínio...), e recebe uma resposta mostrando que aquele domínio já está publicado, oui seja, pertence a alguém, o código do malware simplesmente termina e ele não se espalha mais. Antes de que o interruptor fosse ativado, o domínio não havia sido registrado e o WannaCry podia se espalhar livremente.



Repare que o interruptor só bloqueia a disseminação da variante do WannaCry, mas não resolve o problema daqueles que já tiveram o seu computador infectado. Além disso, os componentes internos do WannaCry, como a parte que criptografa os arquivos, não dependem da função worm (autorreplicante) e, por isso, não é controlada pelo interruptor e pode continuar a causar danos. Por isso, se você se deparou com o próprio ransomware vindo, por exemplo, da cópia de arquivos de um computador infectado através de um pendrive, você ainda pode ser infectado.

Desde que o interruptor foi acionado, a disseminação do WannaCry caiu significativamente. Contudo, notamos que pelo menos outras seis variantes do WannaCry contém outros interruptores (isto é, utilizam outro endereço de domínio ou URL). Já detectamos inclusive variantes onde o "interruptor" foi removido, o que significa que os criminosos por trás dessas variantes desejam que suas versões continuem a se espalhar de forma incontrolável. Com base nas semelhanças entre as variantes, pensamos que as últimas versões são modificações da variante original do WannaCry e provavelmente foram modificadas por outros grupos ou indivíduos.

Quanto os cibercriminosos lucraram
O resgate exigido pelo WannaCry estava entre 300 e 600 dólares (sendo que 300 dólares valiam 0,17222 Bitcoins ou R$ 932, em 16 de maio de 2017) e os valores cresceram ao longo do tempo. A ameaça que o ransomware faz dizendo que irá apagar os arquivos criptografados se o resgate não for pago em sete dias é falsa.

Estivemos monitorando os endereços de pagamento de Bitcoin que foram utilizados pelo grupo por trás do ataque e houve mais de 260 pagamentos, gerando um valor total de 41 BTC (até o momento em que este artigo foi publicado em inglês). Isto significa aproximadamente 70.000 dólares, o que não é muito considerando o estrago causado.

Contudo, à medida em que o temporizador na janela do WannaCry avança, diminuindo o tempo disponível para que as vítimas paguem o resgate antes que percam seus dados (o que já dissemos que é falso), provavelmente veremos mais pagamentos dentro. Recomendamos firmemente que não seja pago o resgate, porque não há garantias de que os arquivos sejam descriptografados, e o pagamento animará os autores do ransomware a lançar novas campanhas.

Parece com o WannaCry, age como o WannaCry, mas não é o WannaCry
Assim que o WannaCry se tornou "popular", outros cibercriminosos começaram a se aproveitar da agitação para ganhar os seus trocados. Começamos a detectar vários aplicativos de baixa qualidade que queriam se passar pelo WannaCry, como o que aparece abaixo:


Conclusões

Voltando à sexta-feira 12, meus colegas e eu estávamos num workshop sobre antivírus, em uma palestra sobre um ransomware recente, o Spora, que também se disseminava via worm (autorreplicação). Durante o workshop, estávamos conversando com pesquisadores de outras empresas sobre as últimas tendências e os desafios dos últimos anos, como o Loveletter, o Blaster ou o Nimda.

Todas as lembranças terminaram subitamente quando ficamos sabendo do ataque. É difícil descrever a agitação em que ficamos todos para lutar contra essa ameaça. No final do dia, já tinha ficado evidente que estávamos diante do pior ataque de ransomwares da história.

Vamos ver o que os próximos dias nos reservam. Já existem especulações sobre a origem do ataque e já há outras ameaças utilizando os mesmos métodos de infecção.

Nenhum comentário