O ataque ransomware global e como proteger seus dados

Um ciberataque massivo atingiu computadores em todo o mundo. O altamente virulenta ransomware auto-replicante - conhecido como WanaCryptor, Wannacry, ou Wcry - se, em parte, se apropriavam de uma Agência Nacional de Segurança (NSA) exploram liberado no mês passado selvagem por um grupo de hackers conhecido como Os Corretores de sombra.Os cibercriminosos Possuir Ferramentas CIA Hacking: O que isso significa para vocêOs cibercriminosos Possuir Ferramentas CIA Hacking: O que isso significa para vocêmalware mais perigoso da Agência de Inteligência da Central - capaz de cortar eletrônicos de consumo quase todos sem fio - pode agora sentar-se nas mãos de ladrões e terroristas. E o que isso significa para você?consulte Mais informação

O ransomware é pensado para ter infectado pelo menos 100.000 computadores, de acordo com antivirus desenvolvedores, Avast. O ataque maciço predominantemente alvo Rússia, Ucrânia e Taiwan, mas se espalhar para grandes instituições em pelo menos 99 outros países. Além de exigir $ 300 (em torno de 0,17 Bitcoin no momento da escrita), a infecção também é notável por sua abordagem multi-lingual para garantir o resgate: o malware suporta mais de duas dezenas de línguas.

O que está acontecendo?

WanaCryptor está causando enorme perturbação, quase sem precedentes. O ransomware está afetando bancos, hospitais, telecomunicações, concessionárias de energia, e outras infra-estruturas de missão crítica.Quando os governos Ataque: Nation-State Malware ExposedQuando os governos Ataque: Nation-State Malware ExposedA ciberguerra está ocorrendo agora, escondido pela internet, seus resultados raramente observada. Mas quem são os jogadores neste teatro de guerra, e quais são as suas armas?consulte Mais informação

Só no Reino Unido, na pelo menos 40 NHS (Serviço Nacional de Saúde) Trusts declarou emergências, forçando o cancelamento de cirurgias importantes, bem como a minar a segurança do paciente e segurança e quase certamente levando a mortes.

WanaCryptor surgiu pela primeira vez em fevereiro de 2017. A versão inicial do ransomware mudou extensões de arquivos afetados para “.WNCRY”, bem como marcando cada arquivo com a string “WANACRY!”

Video: ��Ransomware – O que são ? Como se proteger ? O que fazer se estiver infectado ? | professorramos.com

WanaCryptor 2.0 está se espalhando rapidamente entre computadores usando um exploit associada ao Grupo equação, um coletivo de hackers intimamente associada com a NSA (e fortemente rumores de que a sua in-house “sujo” unidade de hacking). pesquisador de segurança respeitada, Kafeine, confirmou que o exploit conhecido como ETERNALBLUE ou MS17-010 era susceptível de ter destaque na versão atualizada.

Video: Como se proteger do ataque ransomware WannaCrypt

vários Exploits

Este surto ransomware é diferente do que você já deve ter visto (e espero, não experiente). WanaCryptor 2.0 combina o SMB vazou (Server Message Block, um protocolo de compartilhamento de arquivos de rede Windows) explorar com uma carga de auto-replicação permitindo que o ransomware para se espalhar de uma máquina vulnerável para a próxima. Este resgate verme corta o método de entrega ransomware usual de um e-mail infectado, link, ou outra ação.

Adam Kujawa, pesquisador Malwarebytes disse Ars Technica “O vetor de infecção inicial é algo que ainda está tentando descobrir ... Considerando-se que este ataque parece alvo, que poderia ter sido através de uma vulnerabilidade nas defesas de rede ou uma lança muito bem trabalhada ataque de phishing. Independentemente disso, está se espalhando através de redes infectadas usando a vulnerabilidade EternalBlue, infectando sistemas desatualizados adicionais “.

WanaCryptor também está alavancando DOUBLEPULSAR, outra NSA vazou explorar. Este é um backdoor usada para injetar e executar códigos maliciosos remotamente. Os scans de infecção de hospedeiro previamente infectado com o backdoor, e quando encontrou usa a funcionalidade existente para instalar WanaCryptor. Nos casos em que o sistema host não tem um backdoor DOUBLEPULSAR existente, o malware reverte para o ETERNALBLUE SMB explorar.CIA Hacking & Vault 7: Seu Guia para o mais recente WikiLeaks lançamentoCIA Hacking & Vault 7: Seu Guia para o mais recente WikiLeaks lançamentoTodo mundo está falando sobre WikiLeaks - novamente! Mas a CIA não está realmente assistindo-lo através de sua TV inteligente, não é? Certamente os documentos vazados são falsos? Ou talvez seja mais complicado do que isso.consulte Mais informação

Atualização de segurança crítica

O vazamento massivo de ferramentas de hacking NSA fez manchetes em todo o mundo. evidência imediata e inigualável que a NSA recolhe e armazena inéditas explorações de dia zero para uso próprio está lá fora. Isso representa um risco de segurança enorme, como temos visto agora.

Por sorte, a Microsoft corrigiu o Eternalblue explorar de março, antes maciça para armas dos Corretores Sombra exploit-achado atingiu as manchetes. Dada a natureza do ataque, que sabemos que este específico explorar está em jogo, bem como a natureza rápida da infecção, parece um grande número de organizações não conseguiram instalar a atualização crítica - mais de dois meses após seu lançamento.Como & Por que você precisa para instalar esse patch de segurançaComo & Por que você precisa para instalar esse patch de segurançaconsulte Mais informação

Em última análise, as organizações afetadas vai querer jogar o jogo da culpa. Mas onde deve o ponto de dedo? Neste caso, não é culpa o suficiente para compartilhar em torno de: a NSA para armazenamento perigosas explorações de dia zero, os malfeitores que atualizados WanaCryptor com as façanhas vazou, as numerosas organizações que ignoraram uma atualização de segurança crítica, e outras organizações ainda usando o Windows XP.

Que as pessoas podem ter morrido porque as organizações encontraram a carga de atualizar seu sistema operacional primário é simplesmente surpreendente.

Microsoft ter imediatamente lançou uma atualização de segurança crítica para o Windows Server 2003, Windows 8 e Windows XP.

Video: O ataque do ransomware WannaCry

Estou em risco?

WanaCryptor 2,0 espalhou como fogo. Em certo sentido, as pessoas fora da indústria de segurança tinha esquecido a rápida propagação do verme, e pânico que pode causar. Nesta era hiper-ligados, e combinado com cripto-ransomware, os fornecedores de software malicioso foram em um vencedor terrível.

Você está em risco? Felizmente, antes dos Estados Unidos acordou-se e foi sobre o seu dia de computação, o MalwareTechBlog encontrou um kill-chave escondida no código malware, reduzindo a propagação da infecção.

O kill-chave envolvidos um tempo muito longo sem sentido domínio nome - iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com - que o malware faz uma solicitação para.

Se o pedido de volta ao vivo (ou seja, aceita o pedido), o malware não infectar a máquina. Infelizmente, isso não ajuda ninguém já infectados. O pesquisador de segurança por trás MalwareTechBlog registrou o endereço para acompanhar as novas infecções por meio de seus pedidos, não percebendo que era o kill switch de emergência.

Infelizmente, não existe a possibilidade de que outras variantes do ransomware existir, cada um com seu próprio kill-switch (ou não em todos, como o caso).

A vulnerabilidade também pode ser mitigado pela desativação SMBv1. A Microsoft fornece um tutorial completo sobre como fazer isso para Windows e Windows Server. No Windows 10, esta pode ser rapidamente conseguida premindo Tecla Windows + X, seleção PowerShell (Admin), e colando o seguinte código:

Desative-WindowsOptionalFeature -Online -FeatureName smb1protocol

SMB1 é um protocolo de idade. As versões mais recentes não são vulneráveis ​​à variante WanaCryptor 2.0.

Além disso, se o sistema actualiza como normal, você está improvável a sentir os efeitos diretos desta infecção particular. Dito isto, se você tinha um compromisso NHS cancelada, o pagamento bancário que deu errado, ou um pacote vital não conseguiu chegar, você foi afetado, independentemente.

E a palavra para o sábio, um remendado explorar nem sempre fazer o trabalho. Conficker, qualquer um?

O que acontece depois?

No R.U., 2,0 WanaCryptor foi inicialmente descrito como um ataque directo no NHS. Este foi descontado. Mas a questão é que centenas de milhares de pessoas experientes interrupção direta devido a malware.

O malware tem características de um ataque com consequências drasticamente não intencionais. Cybersecurity especialista, Dr. Afzal Ashraf, disse à BBC que “eles provavelmente atacou uma pequena empresa assumindo que iria receber uma pequena quantidade de dinheiro, mas o seu tem no sistema NHS e agora eles têm todo o poder do Estado contra eles - porque obviamente, o governo não pode pagar para este tipo de coisa acontecer e ser bem sucedido “.

Não é apenas o NHS, é claro. Na Espanha, El Mundo relatam que 85 por cento dos computadores em Telefonica foram afetados pelo worm. Fedex confimed eles haviam sido afetados, bem como Portugal Telecom, e MegaFon da Rússia. E isso é sem considerar os principais fornecedores de infra-estrutura também.

Dois endereços bitcoin criados (aqui e aqui) para receber resgates agora contêm um combinado de 9,21 BTC (cerca de US $ 16.000 USD, no momento da escrita) de 42 transações. Dito isto, e corroborando a teoria de “conseqüências não intencionais”, é a falta de identificação do sistema fornecido com os pagamentos Bitcoin.

Então, o que acontece a seguir? O processo de limpeza começa, e organizações afetadas contar suas perdas, tanto financeira e à base de dados. Além disso, as organizações afetadas terá um olhar longo, duro em suas práticas de segurança e - Eu realmente, realmente espero - atualização, deixando o sistema operacional antiquada e agora perigosa Windows XP para trás.

Nós esperamos.

Foram diretamente afetados por WanaCryptor 2.0? Você perdeu de dados, ou tinha um compromisso cancelado? Você acha que os governos deveriam forçar a infra-estrutura de missão crítica para atualizar? Deixe-nos saber suas experiências WanaCryptor 2.0 abaixo e dar-nos uma parte se nós ajudamos-lo.


Artigos relacionados