ATENÇÃO USUÁRIOS DE WINDOWS: Ataque Massivo de Ransomware

12 de maio de 2017


O CAIS (CENTRO DE ATENDIMENTO A INCIDENTES DE SEGURANCA) da RNP, alerta para um recente ataque massivo de ransomware que tem afetado diversas organizações na Europa e America Latina. O ransomware afeta sistemas Windows cifrando diversos arquivos em discos rígidos, pendrives e unidades de rede podendo se propagar a outros equipamentos que estejam conectados na mesma rede.

Descrição

O ransomware, conhecido pelas variantes de WannaCry ou HydraCrypt, infecta computadores utilizando o sistema operacional Microsoft Windows através de uma vulnerabilidade no serviço SMB, utilizado para o compartilhamento de arquivos via rede. Quando o usuário executa um arquivo malicioso enviado pelo atacante, normalmente um arquivo compactado do tipo RAR, inicia-se um processo de cifragem de arquivos no computador da vítima. Além disso, o ransomware pode propagar-se através da rede local podendo afetar também outras máquinas que executem o Windows. Quando o computador é afetado, os arquivos cifrados passam a ser identificados pela extesão “.wcry”. Após este processo, é solicitada à vítima o pagamento de uma taxa para envio da chave que poderá decifrar os dados. Porém, de acordo com relatos conhecidos, o pagamento da taxa de resgate ao usuário malicioso não garante que o mesmo irá enviar a chave para decifrar os arquivos, o que torna importante realizar regularmente o backup dos arquivos para recuperação quando necessário.

A DTI recomenda a todos os usuários do sistema Windows que verifiquem a integridade das cópias de segurança dos arquivos de seus computadores, assim como as rotinas de backup. Além disso, recomenda-se que as soluções antimalware estejam atualizadas com as últimas versões fornecidas pelo desenvolvedor.

Para mitigar o problema, recomenda-se desabilitar o recurso SMBv1 nos sistemas Windows. Para correção da vulnerabilidade, é necessário aplicar as atualizações de segurança disponibilizadas pela Microsoft através do sistema Windows Update.

Sistemas impactados:

  • Windows Vista SP2
  • Windows Server 2008
  • Windows Server 2008 R2
  • Windows 7
  • Windows 8.1
  • Windows Server 2012
  • Windows Server 2012 R2
  • Windows 10
  • Windows Server 2016

Como desabilitar o protocolo SMBv1

Atualização de segurança recomendada pelo CAIS