Atualização

O WannaCrypt foi interrompido no dia 13 de maio de 2017 pelo acionamento de um recurso kill switch presente no malware, contudo, tem-se conhecimento de que variações (e.g. Uiwix) estão sendo produzidas sem esse recurso. Portanto mantem-se as recomendações para mitigação da vulnerabilidade.

 

Visão Geral

O CSIRT-DF recebeu diversos alertas relativos a ataques de ransomware em escala global. O ataque em questão utiliza-se de uma vulnerabilidade presente no Server Message Block 1.0 (SMBv1) em computadores com sistema operacional Windows desatualizados.

Esse malware dissemina-se pela rede, embora seja prudente manter os mesmos cuidados em relação a outras formas de disseminação tais como anexos em mensagens de e-mail e links em páginas web.

Outros nomes pelos quais o malware tem sido referenciado: WannaCrypt, WannaCry, WanaCrypt0r, WCrypt, WCRY.

Impacto

  • Perda temporária ou permanente do acesso a arquivos
  • Sobrecarga da rede local e de Internet pelo excesso de requisições (especialmente na porta 445)
  • Perda financeira pela interrupção dos negócios
  • Perda financeira pela inacessibilidade de carteira de moeda digital (Bitcoin, Litecoin etc.)
  • Inclusão dos endereços IP de navegação em blacklists podendo dificultar o acesso a alguns serviços da Internet
  • Danos à imagem da organização.

Sistemas Afetados

  • Microsoft Windows Vista SP2
  • Windows Server 2008 SP2 e R2 SP1
  • Windows 7
  • Windows 8.1
  • Windows RT 8.1
  • Windows Server 2012 e R2
  • Windows 10
  • Windows Server 2016

Solução /  Mitigação

Recomendações preventivas:

  • Bloquear portas UDP 137, 138 e TCP 139, 445 no firewall de rede e/ou do sistema operacional
  • Revisar as rotinas de backup (cópias de segurança).

Recomendações reativas:

  • Desativar imediatamente a conexão com a rede, inclusive Wi-Fi;
  • Realize uma varredura completa com o software antivírus; 

    Windows Defender Offline para Windows 7

    Recomendado para casos de malwares persistentes que impedem a verificação com o sistema afetado em execução.
    Com essa ferramenta você poderá executar o boot a partir de um leitor de CD / DVD e executar a varredura off-line. 
    Site oficial: https://support.microsoft.com/pt-br/help/17466/windows-defender-offline-help-protect-my-pc

    Microsoft Safety Scanner
    O Microsoft Safety Scanner é um produto destinado a verificação de vírus, spyware e outros malwares que pode ser utilizado juntamente (em parelelo) com outras soluções antivírus já instaladas, inclusive em computador já infectado. 
    https://www.microsoft.com/security/scanner/pt-br/default.aspx

    Kaspersky Virus Removal
    Ferramenta gratuita para remoção de vírus para Windows para execução sem boot.
    http://support.kaspersky.com/us/viruses/kvrt2015

    Kaspersky Rescue Disk
    Ferramenta gratuita para remoção de vírus que impedem que o computador inicialize. Precisa ser gravado em um CD/DVD.
    http://support.kaspersky.com/viruses/rescuedisk#downloads 

  • Não pague pelo desbloqueio do computador ou recuperação de seus arquivos. Além não ter nenhuma garantia de obter de volta o acesso, esta medida incentiva a prática dos criminosos;
  • Utilize o recurso de Recuperação do Sistema para reaver um estado sadio do sistema operacional;
  • Altere o relógio da BIOS para evitar que o prazo de pagamento do “resgate” seja alcançado antes que as medidas de recuperação possam ser tomadas.

 

Outras recomendações poderão ser encontradas no Alerta para crescimento de incidentes de Ransomware