Como o maléfico Ransomware Wannacry conseguiu tanto sucesso em seu ataque

Somos continuamente orientados por diversas fontes na internet e por conta disso sabemos ou deveríamos saber como bloquear ataques por malware porém…

Não instalar programas desconhecidos ou suspeitos, não abrir anexos ou clicar em links duvidosos nos e-mails, não acessar sites suspeitos e efetuar downloads por eles são algumas das incansáveis rotinas a seguir.

Mesmo com tantas sugestões, invariavelmente acabam surgindo novas maneiras de burlar essas práticas, o nomeado da vez é o agora mundialmente famoso WannaCrypt ou odiosamente apelidado WannaCry. Seu mérito está em propiciar uma infecção à moda antiga mas, uma vez que existente em sua rede, começa a se alastrar valendo-se dum protocolo de rede antigo do windows, o Windows Server Message Block (SMB), espalhando-se como um incêndio descontrolado.

O protocolo SMB é um antigo conhecido do Windows e a Microsoft dedica seu crédito à IBM e seu arquiteto de rede Barry Feigenbaum, sendo criado em meados de 1.983 tendo a Microsoft continuado com sua implementação.

Este protocolo é costumeiramente usado para compartilhar arquivos pela rede e uma versão dele, o Common Internet File System (CIFS) é usada desde a introdução do Windows 2000 permitindo o intercâmbio de arquivos  entre outros sistemas operacionais incluindo Linux, Unix e MacOS(ou OSX).

Em redes modernas de computadores, o protocolo SMB costuma usar a porta TCP 445, anterior a esse padrão era utilizado o protocolo NetBIOS porém desde a introdução pela Microsoft do SMBv1 pela porta 445 no Windows 2000 com hospedagem direta do SMB por TCP/IP, uma falha oculta de segurança aguardava por ser aproveitada. SMBv1 é onde a falha explorada pelo WannaCrypt age oculta.

O protocolo SMBv1, substituído pelo SMBv2 lançado em 2006, é terrivelmente inseguro e dever desativado embora curiosamente a própria Microsoft manteve ativo mesmo ciente de suas falhas, mesmo assim ela recomenda desabilitar o SMBv1, em qualquer versão do Windows partindo do Vista até o mais recente Windows 10.

São conhecidas muitas formas de explorar as falhas deste protocolo SMBv1 e continuam a ser utilizadas a exemplo do usuário Rapid7, desenvolvedor do programa de testes de invasão Metasploit, afirmando existirem mais de um milhão de dispositivos que permanecem com a porta 445 totalmente vulnerável por estar ativa.

Deste total ao menos 800.000 deles funcionam com Windows, afirmando que qualquer descuidado capaz de deixar esta porta aberta é imprudente o suficiente em continuar a executar o protocolo SMBv1 sem aplicar as correções no sistema regularmente.

O WannaCrypt é o mais mortal dos atuais ransomwares, basta apenas um computador ser infectado numa rede com o protocolo SMBv1 ativo, para todos os demais computadores existentes nesta rede estarem vulneráveis ao mesmo ataque.

Mesmo o SMB sendo usado em diversos sistemas operacionais como o Linux residente em dispositivos como NAS( Network Attached Storage ou dispositivo de armazenamento em rede) tanto em empresas como residências, ele consegue atacar apenas sistemas Windows, em especial o WannaCrypt usa a vulnerabilidade da rotina chamada SMB RCE(Remote Code Execution) para efetivar seu ataque.

O mecanismo usado para propagar o WannaCrypt foi desenvolvido por um conjunto de rotinas e ferramentas da Agência de Segurança Nacional americana (NSA) chamada EternalBlue / Double Pulsar, revelada pelo grupo de criminosos digitais conhecido como Shadow Brokers. O sistema EternalBlue permite ataques remotos executando arbitrariamente códigos para Windows no sistema através do SMB usando pacotes elaborados. Já o DoublePulsar é um Trojan(cavalo de tróia) que abre as portas vulneráveis nos computadores comprometidos. Entre eles, enquanto um procede com a abertura dessas portas o outro tem a missão de disseminar-se vertiginosamente através da rede Windows.

Uma vez que o ransomware está ativo, o WannaCrypt irá tentar se conectar aos seguintes domínios de internet usando o mecanismo Windows API InternetOpenUrlA():

• www[.]iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea[.]com
• www[.]ifferfsodp9ifjaposdfjhgosurijfaewrwergwea[.]com

Diferente de outros programas estilo ransomware, caso tenha sucesso ao acessar estes sites nada prejudicial será iniciado, caso não consiga então começa a bloquear os arquivos e comprometer o computador infectado.

Uma vez infectado o sistema, ele irá criar um serviço chamado mssecsvc2.0 que tem como objetivo infectar todos os demais computadores executando o Windows podendo atingir toda a rede ativa. Depois de concluído ele irá descompactar o ransomware compactador protegido usando o padrão .zip .

Este tenebroso pacote inclui um programa que irá criptografar todos os arquivos que conseguir localizar, renomeando-os com a extensão “WNCRY”, num exemplo o arquivo infectado “cachorro.jpg” será criptografado para “cachorro.jpg.WNCRY”.

Após concluído ele irá apagar seus arquivos Windows de sombra (VSS) e por conta disso inutilizando também tradicional backup local do Windows. Caso não tenha um programa alternativo e ativo de backup para seus arquivos que reconheça essa artimanha então pode começar a se preocupar, até o backup estará comprometido.

Desta maneira, quais métodos iniciais são possíveis para tentar reduzir sua proliferação ?!

1. Pare de usar Windows e migre para o Linux.

2. Se o Windows é a única maneira, atualize para a versão 10.

3. Aplique os patchs de correção

4. Desabilite o protocolo SMBv1

5. Bloqueie a porta 445 no seu firewall.

A diferença de outros ransomware está também na forma do resgate sugerido para recuperar estes arquivos, existe um contador na tela principal causando mais intimidação à vitima, deixando entender que após expirado o prazo não será mais possível recuperar seus dados, embora mantenham a provável condição depois de pagar os $300 pedidos em moeda digital Bitcoin – acredite, muitos já pagaram –, mesmo assim não há relatos de conseguirem recuperar seus arquivos.

Já circulam pela internet algumas soluções para reverter esses ataques mas como prevenir é melhor que remediar, desenvolver uma metodologia de backup usando uma solução sólida, confiável e prática é fundamental, conheça mais sobre as soluções Iperius Backup { clilcando aqui }.