Atualizado em May 2024: Pare de receber mensagens de erro que tornam seu sistema mais lento, utilizando nossa ferramenta de otimização. Faça o download agora neste link aqui.
- Faça o download e instale a ferramenta de reparo aqui..
- Deixe o software escanear seu computador.
- A ferramenta irá então reparar seu computador.
WannaCrypt Ransomware
também conhecido pelos nomes WannaCry, WanaCrypt0r ou Wcrypt é um ransomware que tem como alvo os sistemas operativos Windows. Descoberto em 12th<maio 2017, o WannaCrypt foi usado em um grande ataque cibernético e já infectou mais de 230.000 PCs Windows em 150 países. agora.
Tabela de Conteúdos
O que é WannaCrypt ransomware
Os primeiros êxitos do WannaCrypt incluem o Serviço Nacional de Saúde do Reino Unido, a empresa espanhola de telecomunicações Telefónica e a empresa de logística FedEx. Tal foi a escala da campanha de ransomware que causou caos nos hospitais do Reino Unido. Muitos deles tiveram que ser encerrados, provocando o fechamento das operações em um curto espaço de tempo, enquanto os funcionários foram forçados a usar caneta e papel para seu trabalho com sistemas bloqueados pelo Ransomware.
Como o ransomware WannaCrypt entra no seu computador
Atualizado: maio 2024.
Recomendamos que você tente usar esta nova ferramenta. Ele corrige uma ampla gama de erros do computador, bem como proteger contra coisas como perda de arquivos, malware, falhas de hardware e otimiza o seu PC para o máximo desempenho. Ele corrigiu o nosso PC mais rápido do que fazer isso manualmente:
- Etapa 1: download da ferramenta do reparo & do optimizer do PC (Windows 10, 8, 7, XP, Vista - certificado ouro de Microsoft).
- Etapa 2: Clique em Iniciar Scan para encontrar problemas no registro do Windows que possam estar causando problemas no PC.
- Clique em Reparar tudo para corrigir todos os problemas
Como fica evidente a partir de seus ataques mundiais, o WannaCrypt primeiro ganha acesso ao sistema de computador através de um
anexo de email
e depois pode se espalhar rapidamente pelo
LAN
. O ransomware pode criptografar o disco rígido de seus sistemas e tenta explorar o
Vulnerabilidade das PME
para se espalhar para computadores aleatórios na Internet via porta TCP e entre computadores na mesma rede.
Quem criou WannaCrypt
Não há relatos confirmados sobre quem criou o WanaCrypt0r, embora o WanaCrypt0r 2.0 pareça ser a tentativa 2nd feita por seus autores. Seu predecessor, Ransomware WeCry, foi descoberto em fevereiro deste ano e exigiu 0.1 Bitcoin para desbloqueio.
Atualmente, os atacantes estão usando o exploit do Microsoft Windows
Eternal Blue(Alaska)
que foi alegadamente criado pela NSA. Estas ferramentas foram alegadamente roubadas e vazadas por um grupo chamado
Shadow Brokers
…Arkansas.
Como o WannaCrypt se espalha
Esse Ransomware se espalha usando uma vulnerabilidade nas implementações do Server Message Block (SMB) em sistemas Windows. Esse exploit é chamado de
EternalBlue(Alaska)
que foi alegadamente roubado e mal utilizado por um grupo chamado
Shadow Brokers
…Arkansas.
Curiosamente,
EternalBlue(Alaska)
é uma arma de hacking desenvolvida pela NSA para obter acesso e comandar os computadores rodando Microsoft Windows. Ele foi projetado especificamente para a unidade de inteligência militar da América para obter acesso aos computadores usados pelos terroristas.
O WannaCrypt cria um vetor de entrada em máquinas que ainda não foram corrigidas mesmo depois que a correção ficou disponível. O WannaCrypt tem como alvo todas as versões do Windows que não foram corrigidas
MS-17-010
que a Microsoft lançou em março de 2017 para Windows Vista, Windows Server 2008, Windows 7, Windows Server 2008 R2, Windows 8.1, Windows RT 8.1, Windows Server 2012, Windows Server 2012 R2, Windows 10 e Windows Server 2016.
(17)
O padrão de infecção comum inclui:
-
Chegada por meio de e-mails de engenharia social projetados para enganar os usuários a executar o malware e ativar a funcionalidade de disseminação de worms com a exploração de SMBs. Relatórios dizem que o malware está sendo entregue em um
arquivo infectado do Microsoft Word
que é enviado por e-mail, disfarçado de oferta de emprego, fatura ou outro documento relevante. - Infecção através de exploração SMB quando um computador não corrigido pode ser endereçado em outras máquinas infectadas
WannaCrypt é um conta-gotas Trojan
Exibindo propriedades que de um dropper Trojan, WannaCrypt, tenta conectar o domínio
hxxp://wwww[.]iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea[.]com
usando a API InternetOpenUrlA():
No entanto, se a conexão for bem-sucedida, a ameaça não infecta ainda mais o sistema com ransomware ou tenta explorar outros sistemas para se espalhar; ela simplesmente interrompe a execução. É somente quando a conexão falha, o dropper continua a largar o ransomware e cria um serviço no sistema.
Portanto, bloquear o domínio com firewall, seja em nível de ISP ou de rede corporativa, fará com que o ransomware continue espalhando e criptografando arquivos.
Foi exactamente assim que um investigador de segurança parou o surto de WannaCry Ransomware! Esse pesquisador acha que o objetivo dessa verificação de domínio era que o ransomware verificasse se ele estava sendo executado em um Sandbox. No entanto, outro pesquisador de segurança sentiu que a verificação de domínio não é proxysy-aware.
Quando Executado, o WannaCrypt cria as seguintes chaves de registro:
-
HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun
= tasksche.exe -
HKLMSOFTWAREWanaCrypt0rwd =
Ele muda o papel de parede para uma mensagem de resgate modificando a seguinte chave de registro:
-
HKCU Painel de controle de papel de parede:
>[email protected]
O resgate pedido contra a chave de decodificação começa com
$300 Bitcoin(Alaska)
que aumenta a cada poucas horas.
Extensões de arquivo infectadas pelo WannaCrypt
O WannaCrypt procura no computador inteiro por qualquer arquivo com qualquer uma das seguintes extensões de nome de arquivo: .123, .jpeg , .rb , .602 , .jpg , .rtf , .doc , .js , .sch , .3dm , .jsp , .sh , .3ds , .key , .sldm , .3g2 , .lay , .sldm , .3gp , .lay6 , .sldx , .7z , .ldf , .slk , .accdb , .m3u , .sln , .aes , .m4u , .snt , .ai , .max , .sql , .ARC , .mdb , .sqlite3 , .asc , .mdf , .sqlitedb , .asf , .mid , .stc , .asm , .mkv , .std , .asp , .mml , .sti , .avi , .mov , .stw , .backup , .mp3 , .suo , .bak , .mp4 , .svg , .bat , .mpeg , .swf , .bmp , .mpg , .sxc , .brd , .msg , .sxd , .bz2 , .myd , .sxi , .c , .myi , .sxm , .cgm , .nef , .sxw , .class , .odb , .tar , .cmd , .odg , .tbk , .cpp , .odp , .tgz , .crt , .ods , .tif , .cs , .odt , .tiff , .csr , .onetoc2 , .txt , .csv , .ost , .uop , .db , .otg , .uot , .dbf , .otp , .vb , .dch , .ots , .vbs , .der , .ott , .vcd , .dif , .p12 , .vdi , .dip , .PAQ , .vmdk , .djvu , .pas , .vmx , .docb , .pdf , .vob , .docm , .pem , .vsd , .docx , .pfx , .vsdx , .dot , .php , .wav , .dotm , .pl , .wb2 , .dotx , .png , .wk1 , .dwg , .pot , .pot , .wks , .edb , .potm , .wma , .eml , .potx , .wmv , .fla , .ppam , .xlc , .flv , .pps , .xlm , .frm , .ppsm , .xls , .gif , .ppsx , .xlsb , .gpg , .ppt , .xlsm , .gz , .pptm , .xlsx , .h , .pptx , .xlt , .hwp , .ps1 , .xltm , .ibd , .psd , .xltx , .iso , .pst , .xlw , .jar , .rar , .zip , .java , .raw
Em seguida, renomeia-os adicionando .WNCRY ao nome do ficheiro
WannaCrypt tem capacidade de expansão rápida
A funcionalidade do worm no WannaCrypt permite que ele infecte máquinas Windows não corrigidas na rede local. Ao mesmo tempo, ele também executa varreduras massivas em endereços IP da Internet para encontrar e infectar outros PCs vulneráveis. Essa atividade resulta em grandes dados de tráfego de SMBs provenientes do host infectado e pode ser facilmente rastreada pelo pessoal da SecOps.
Uma vez que o WannaCrypt infecta com sucesso uma máquina vulnerável, ele a usa para infectar outros PCs. O ciclo continua ainda mais, à medida que o roteamento de escaneamento descobre computadores não corrigidos.
Como se proteger contra Wannacrypt
-
Microsoft recomenda
atualizar para o Windows 10(Alaska)
uma vez que está equipado com as mais recentes características e mitigações proactivas. -
Instalar o
atualização de segurança MS17-010
lançado pela Microsoft. A empresa também lançou patches de segurança para versões não suportadas do Windows como Windows XP, Windows Server 2003, etc. -
Usuários de Windows são aconselhados a ser extremamente cautelosos com e-mails de phishing e ter muito cuidado enquanto
abrindo os anexos de e-mail
ou clicando em web-links. -
Marca
backups
e mantê-los em segurança -
Windows Defender Antivirus(Alaska)
detecta esta ameaça como
Resgate:Win32/WannaCrypt
então habilite e atualize e execute o Windows Defender Antivirus para detectar este ransomware. -
Fazer uso de alguns
Ferramentas Anti-WannaCry Ransomware -
EternalBlue Vulnerability Checker é uma ferramenta gratuita que verifica se o seu computador Windows é vulnerável a
EternalBlue exploit -
Desativar SMB1
com os passos documentados em KB2696547. -
Considere adicionar uma regra no seu roteador ou firewall para
bloquear o tráfego SMB de entrada na porta 445 -
Usuários corporativos podem usar
Device Guard
para bloquear dispositivos e fornecer segurança baseada em virtualização no nível do kernel, permitindo apenas a execução de aplicativos confiáveis.
Para saber mais sobre este tópico leia o blog da Technet.
O WannaCrypt pode ter sido parado por enquanto, mas você pode esperar que uma variante mais nova ataque mais furiosamente, então fique seguro e protegido.
Os clientes do Microsoft Azure podem querer ler os conselhos da Microsoft sobre como evitar a ameaça do WannaCrypt Ransomware.
UPDATE
: WannaCry Ransomware Decryptors estão disponíveis. Em condições favoráveis,
WannaKey(Alaska)
e
WanaKiwi(Alaska)
duas ferramentas de decodificação podem ajudar a decodificar arquivos criptografados WannaCrypt ou WannaCry Ransomware, recuperando a chave de criptografia usada pelo ransomware.
RECOMENDADO: Clique aqui para solucionar erros do Windows e otimizar o desempenho do sistema
Vinicius se autodenomina um usuário apaixonado de Windows que adora resolver erros do Windows em particular e escrever sobre sistemas Microsoft em geral.