Arquivo de maio, 2017

Na sexta-feira dia 12, houveram relatos de computadores sendo atacados por um vírus da categoria Ramsonware. Relatos indicaram que um hospital no reino unido foi afetado fazendo até mesmo cancelarem exames e consultas por problemas causados por este virus. Os relatos se multiplicaram por outros vários países. Informações dão conta que 100 países foram vítimas deste vírus.

No Brasil tivemos alguns relatos de empresas grandes, médias e pequenas e até alguns órgãos públicos como o TJSP e o INSS. Alguns não foram atacados, mas desligaram seus servidores na sexta feira 12/05/2017 receosos de sofrerem algum ataque.

O Ransomware é um vírus que sequestra os dados do computador, ou seja, ele deixa os arquivos do computador inacessíveis liberando somente mediante o pagamento em moeda bitcoin. A moeda bitcoin é usada como pagamento pois é mais difícil se rastrear como pagamentos em dinheiro, cartão ou outra forma de pagamento qualquer.

Este vírus se aproveita de uma brecha de segurança no Windows no protocolo de compartilhamento de arquivos (SMB). É um sistema já usado há anos, mas que até março de 2017 ninguém conhecia esta brecha onde hackers poderiam instalar um vírus no computador da pessoa sem que ela percebesse.

A atualização com os pacotes novos da Microsoft irá proteger os dados da empresa contra estes ataques. A atualização é gratuita e serve para todas as versões do Windows.

Seguem abaixo os links úteis referentes a ajuda contra este ataque para as versões do Windows afetadas:

https://technet.microsoft.com/pt-br/library/security/MS17-010#Softwares%20afetados%20e%20classifica%C3%A7%C3%B5es%20de%20gravidade%20da%20vulnerabilidade

https://support.microsoft.com/pt-br/help/4013389/title

O que sabemos:

  • A Microsoft lançou um patch no dia 14 de março, que corrige a vulnerabilidade. No entanto, máquinas não atualizadas estão expostas a este ataque.
  • O worm ransomware é capaz de se propagar pela rede interna de empresas usando esta vulnerabilidade.
  • A forma como obtém acesso à rede não foi confirmada ainda. É provável que ele envie (mas não se limite a) e-mails contendo conteúdo malicioso. Este conteúdo pode ser um software projetado para danificar ou destruir informações em um computador.
  • Enquanto as regras de detecção e os indicadores estão disponíveis para encontrar o ransomware, estes por si só não irão impedir a infecção.

O que recomendamos:

  • Certifique-se de que o patch MS17-010 da Microsoft seja aplicado a todas as máquinas vulneráveis.
  • Bloqueie as portas 137, 139, 445, 3389 e 9001 para tráfego de entrada e saída da sua rede local.
  • Desabilite SMBv1.
  • Certifique-se de que seu antivírus está atualizado com as atualizações mais recentes.
  • Para evitar propagação interna no caso de uma infecção, você deve considerar o bloqueio das portas 445 e 3389 para tráfego interno.

O que fazer se já está infectado:

  • Não pague o resgate. Há uma grande possibilidade de que o endereço BitCoin não indique quem está pagando fazendo com que seus dados não sejam desbloqueados.
  • Restaure ou formate seu computador.
  • Tente recuperar um backup.