WannaCry é uma cepa de ransomware que surgiu na natureza em 12 de maio de 2017 e se espalhou rapidamente para infectar mais de 200,000 sistemas em mais de 150 países.
Também conhecido como WannaCrypt, WanaCrypt0r, WCrypt e WCRY, o worm WannaCry tira proveito de uma exploração específica no protocolo Server Message Block (SMB) da Microsoft, codinome “EternalBlue” e usa táticas de phishing e-mail para infectar sistemas Microsoft Windows mais antigos e não corrigidos .
Danos potenciais do WannaCry mitigados por patch de segurança e interruptor de interrupção
A Microsoft corrigiu a falha de segurança SMB “EternalBlue” em um comunicado de atualização lançado em 14 de março (MS17-010), embora se aplicasse apenas ao Windows 10 na época. O WannaCry, entretanto, foi desenvolvido para ter como alvo o Windows 7 e o Windows Server 2008 sem patch e sistemas operacionais anteriores.
Após a descoberta do WannaCry in the wild, a Microsoft estendeu o novo patch SMB para cobrir adicionalmente os sistemas operacionais Windows XP, Windows 7, Windows 8 e Windows Server 2003.
Embora esses patches de segurança tenham ajudado a mitigar a disseminação potencial do WannaCry, muitos sistemas Windows permanecem desatualizados quando se trata de patches de segurança recentes e, como resultado, continuam vulneráveis a ransomware como WannaCry e outros malwares.
O dano potencial do WannaCry também foi mitigado pelo acionamento de um “interruptor de eliminação” encontrado no código do WannaCry. O código WannaCry foi projetado para tentar se conectar a um domínio específico e apenas infectar sistemas e se espalhar ainda mais se a conexão com o domínio não for bem-sucedida. Desde o seu surgimento na natureza, o nome de domínio no WannaCry foi registrado e configurado, resultando na limitação da propagação e danos adicionais da cepa inicial de WannaCry.
Como WannaCry funciona e se espalha
O WannaCry tem dois componentes principais: um Trojan dropper que busca explorar a vulnerabilidade de segurança SMB em sistemas Windows mais antigos e não corrigidos e o próprio ransomware.
Os sistemas infectados pelo WannaCry são usados para tentar infectar outros sistemas Windows não corrigidos na rede local, bem como na Internet.
Em máquinas infectadas, o WannaCry criptografa todos os arquivos que encontra e os renomeia com uma extensão de nome de arquivo .WNCRY. O WannaCry então cria uma mensagem de resgate em cada diretório e substitui a imagem do papel de parede de fundo por uma mensagem de resgate exigindo que os usuários paguem $ 300 em moeda Bitcoin para que todos os seus arquivos sejam descriptografados e restaurados ao normal.
Proteção contra WannaCry e outros ataques de ransomware / malware
Para proteger os sistemas de WannaCry e outras formas de ransomware e malware, a Microsoft recomenda a atualização para o Windows 10, que não é vulnerável às variantes WannaCry / WannaCrypt.
Os usuários também são incentivados a instalar a atualização de segurança SMB em sistemas Windows mais antigos e a se manterem atualizados sobre todos os patches e atualizações de segurança por meio do serviço Windows Update.
Além disso, os usuários podem desabilitar especificamente o SMB, se desejado, seguindo as instruções neste Artigo da Base de Conhecimento Microsoft ou restrinja o tráfego SMB adicionando uma regra no roteador de rede ou firewall de software para bloquear o tráfego SMB de entrada na porta 445.