O “vírus” Wannacry foi o responsával por um dos maiores ataques a computadores de empresas iniciada na semana passada (12/05/2017), e consistiu na disseminação de um software malicioso, que bloqueia os computadores com sistema operacional Windows e exige um pagamento para os libertar.
Afinal, o que é o Wannacry?
Wannacry é a designação dada ao ataque “sem precedentes” conduzido desde a passada sexta-feira à escala global, que se destinava a aproveitar uma vulnerabilidade dos sistemas operacionais Windows através da instalação de um software malicioso de tipo “ransomware”, que bloqueia o computador, encripta toda a informação nele contida e exige um pagamento de 300 dólares em bitcoins para o voltar a libertar.
E o que é isso de “ransomware”?
É um tipo de software malicioso que se espalha através de “links” e anexos contidos em emails, e também através de pop-ups em páginas na internet. Este software pode bloquear o computador ou encriptar toda a informação, impedindo o acesso ao utilizador. Esse acesso só é recuperado através do pagamento de uma soma em dinheiro. Este vírus não é novo; o que surpreendeu na passada sexta-feira foi a escala dos ataques, e o fato de aproveitar uma falha dos sistemas Windows para se espalhar aos restantes computadores da mesma rede de internet.
Qual era a vulnerabilidade do Windows?
É um problema que existia em versões antigas do Windows: um problema num dos componentes do Windows Server permitia que, de forma remota, pudesse ser transmitido código malicioso a partir de um computador infectado para os restantes computadores ligados à mesma rede de informática. A Microsoft havia lançado um “patch” (correção) desde março deste ano que corrigia esse problema, mas nem todo mundo atualizou o sistema. Esta vulnerabilidade foi divulgada depois de o grupo de hackers, “ShadowBrokers”, ter tornado público, em Abril, um conjunto de ferramentas usadas pela agência de segurança americana NSA para acessar computadores de pessoas que estavam sob sua investigação.
Quem lançou este ataque?
Ainda não há certezas sobre a origem deste ciberataque. Inicialmente, as autoridades apontavam para o Brasil como o país de origem do Wannacry. Esta terça-feira, um investigador da Google encontrou semelhanças entre o código do software malicioso utilizado neste ataque e o código de dois ataques levados a cabo por um grupo de “hackers” designado Lazarus Group, com ligações à Coreia do Norte (entre os quais o ataque à Sony Pictures, depois do lançamento do filme “A Entrevista”, que satiriza Kim Jong-Un).
Quantas máquinas foram afetadas?
Os cálculos das empresas de segurança apontam para cerca de 300 mil computadores infectados pelo software malicioso em 150 países. Em Portugal, a Kaspersky detectou pelo menos 3.460 ataques nos computadores que utilizam o seu software. No Brasil, fala-se de mais de 220 empresas afetadas, dentre essas, estão a sede brasileira da Telefônica/Vivo, em São Paulo, a Petrobras, o Tribunal de Justiça de São Paulo, o Tribunal Regional do Trabalho de São Paulo e o Ministério Público do Estado de São Paulo, que retiraram seus sites do ar.
A ameaça do Wannacry já está extinta?
Ainda não, até porque qualquer computador que tenha recebido um email com este software e que o usuário abra o arquivo ainda pode ser infectado.
E se eu perceber que meu computador foi infectado, o que posso fazer JÁ?
O pesquisador de segurança Adrien Guinet estudou a forma como o ransomware gera a chave de criptografia e criou uma ferramenta para desbloquear os dados. Ela foi aprimorada para funcionar inclusive em versões mais recentes do Windows, como o Windows 7.
O WannaCry se baseia em dois números primos para gerar as chaves de criptografia. Depois que os arquivos são sequestrados, a chave privada é excluída para evitar que o próprio usuário consiga descriptografar seus dados. No entanto, Guinet descobriu que o WannaCry não limpa os números primos da RAM. A ferramenta, então, consegue recuperá-los e fazer os cálculos para voltar com os arquivos originais.
Ferramenta recupera arquivos sequestrados pelo WannaCry sem pagar resgate
Outro pesquisador de segurança, chamado Benjamin Delpy, criou nesta sexta-feira (19) o Wanakiwi, que é baseado na ferramenta de Guinet, mas simplifica o processo. Ele encontra os números primos automaticamente, descriptografa os dados e cria arquivos compatíveis com o ransomware, que também evitam que o WannaCry entre em atividade novamente na máquina.
Abaixo, a animação mostra o Wanakiwi sendo executado no Windows 7:
Como os números primos utilizados na criptografia ficam armazenados temporariamente na RAM, é importante que o computador não seja reiniciado depois de infectado, caso contrário, o Wanakiwi não funciona. Ainda não há um método conhecido para descriptografar arquivos em máquinas reinicializadas sem pagar o resgate exigido pelos criminosos.
Wanakiwi sendo executado no Windows XP:
Como obter o Wanakiwi?
O Wanakiwi pode ser baixado gratuitamente no site GitHub. A ferramenta funciona por meio do Prompt de comando e já foi testada com sucesso no Windows XP, Windows 7, Windows Vista, Windows Server 2003 e Windows Server 2008.
LEMBRE-SE:
Se perceber que o computador foi infectado (tela aparece “pedindo” o resgate), NÃO deslige a máquina!!! Se ainda não tiver baixado o Wanakiwi, faça IMEDIATAMENTE, e execute essa aplicação.
Se após a infecção a máquina for desligada, não tem mais jeito… pelo menos até agora não se tem notícia. Mas, quem sabe, futuramente…
Fontes:
Comentar com sua conta do Animeiras
Você precisa fazer o login para publicar um comentário.