O que é o WanaCrypt0r ransomware e por que ele está atacando computadores do Mundo Todo?

WanaCrypt0r é software malicioso e atingiu a National Health Service da Grã-Bretanha, algumas das maiores empresas espanholas, incluindo a Telefônica, bem como computadores em toda a Rússia, Ucrânia e Taiwan, levando Computadores e dados ficarem criptografados  e exigindo dinheiro para destrava-los.

O ransomware usa uma vulnerabilidade revelada pela primeira vez ao público como parte de um estoque vazado de documentos relacionados a NSA, a fim de infectar PCs com o sistema operacional Windows criptografando seu conteúdo, e pedindo pagamentos de centenas de dólares para liberar uma chave para descriptografar os arquivos.

O ataque coordenado conseguiu infectar um grande número de computadores em todo o serviço de saúde menos de seis horas depois de ser detectado pela primeira vez por pesquisadores de segurança, em parte devido à sua capacidade de se espalhar em redes de PC para PC

O ransomware já afetou hospitais em toda a Inglaterra para desviar pacientes de emergência – mas o que é, como é que se espalhou e por que isso está acontecendo?

O que é ransomware?
Ransomware é um tipo de malware particularmente desagradável que bloqueia o acesso a um computador ou seus dados e exige dinheiro para liberá-lo.

Como funciona?
Quando um computador é infectado, o ransomware costuma entrar em contato com um servidor central para obter as informações necessárias para ativá-lo e, em seguida, começa a criptografar arquivos no computador infectado com essas informações. Uma vez que todos os arquivos são criptografados, ele envia uma mensagem solicitando o pagamento para descriptografar os arquivos – e ameaça destruir as informações se ele não for pago, muitas vezes com um temporizador conectado para aumentar a pressão.

Como se espalhou?
A maioria dos ransomware é espalhada escondida dentro de documentos do Word, PDFs e outros arquivos normalmente enviados via e-mail, ou através de uma infecção secundária em computadores já afetados por vírus que oferecem uma porta traseira para novos ataques.

O que é WanaCrypt0r?

O malware que afetou a Telefônica na Espanha e o NHS na Grã-Bretanha é o mesmo software: um pedaço de ransomware manchado pela primeira vez na natureza pelos pesquisadores de segurança MalwareHunterTeam , às 9h45 do dia 12 de maio.

Menos de quatro horas depois, o ransomware tinha infectado computadores da NHS, embora originalmente apenas em Lancashire, e se espalhou lateralmente em toda a rede interna do NHS. Ele também está sendo chamado Wanna Decryptor 2.0, WCry 2, WannaCry 2 e Wanna Decryptor 2.

Quanto eles estão pedindo?

WanaCrypt0r está pedindo US $300 no valor do Bitcoin para desbloquear o conteúdo dos computadores.

Quem são eles?
Os criadores deste ransomware ainda são desconhecidos, mas WanaCrypt0r é sua segunda tentativa de cyber-extorsão. Uma versão anterior, chamada WeCry, foi descoberta em fevereiro deste ano : ela pediu aos usuários 0.1 bitcoin (atualmente vale $ 177) para desbloquear arquivos e programas.

Como a NSA está ligada a este ataque?
Uma vez que um usuário inconscientemente instalou este ransomware em seu próprio PC, ele tenta se espalhar para outros computadores na mesma rede. Para fazer isso, WanaCrypt0r usa uma vulnerabilidade conhecida no sistema operacional Windows, pulando entre PC e PC. Essa fraqueza foi revelada ao mundo como parte de um enorme vazamento de ferramentas de hacking da NSA e fraquezas conhecidas por um grupo anônimo chamado “Shadow Brokers” em abril.

Houve alguma defesa?
Sim. Pouco antes de os Shadow Brokers lançarem seus arquivos, a Microsoft emitiu um patch para as versões afetadas do Windows, garantindo que a vulnerabilidade não poderia ser usada para espalhar malware entre versões totalmente atualizadas de seu sistema operacional. Por muitas razões, desde a falta de recursos até o desejo de testar completamente novas atualizações antes de empurrá-las para fora mais amplamente, as organizações geralmente são lentas para instalar essas atualizações de segurança em larga escala.

Quem são os Shadow Brokers? Eles estavam por trás desse ataque?

A atribuição é complicada. Mas parece improvável que os Shadow Brokers estivessem diretamente envolvidos na ransomware: em vez disso, algum desenvolvedor oportunista parece ter notado a utilidade das informações nos arquivos vazados e atualizado seu próprio software. Quanto aos Shadow Brokers, ninguém realmente sabe, mas os dedos apontam para os russos como prováveis ​​culpados.

Vai pagar o resgate realmente desbloquear os arquivos?

Alguns usuários relataram que realmente começaram seus dados descriptografados depois de pagar o resgate, que era tipicamente em torno de £ 300. Mas não há garantia de pagamento vai funcionar, porque os cibercriminosos não são exatamente o grupo mais confiável de pessoas.

Mas sério, será que vale a pena pagar e “financiar” o crime cibernético?

O que mais eu posso fazer?
Uma vez que o ransomware tenha criptografado seus arquivos, não há muito o que você pode fazer. Se você tiver um backup dos arquivos que você deve ser capaz de restaurá-los depois de limpar o computador, mas se não os seus arquivos poderiam ter se perdido para sempre.

Alguns mal “feitos” ransomware, no entanto, tem sido ele mesmo invadido por pesquisadores de segurança, permitindo a recuperação de dados. Mas essas situações são raras, e tendem a não se aplicar no caso de grandes hits profissionais como o ataque WanaCrypt0r.

Quanto tempo vai durar este ataque?
Ransomware tem frequentemente uma vida curta. Como fornecedores anti-vírus estão sempre lançando atualizações em novas versões do malware, eles são capazes de evitar novas infecções.

Eles vão se safar?
Bitcoin, o meio de pagamento através do qual os hackers estão exigindo o pagamento, é difícil de rastrear, mas não impossível, e a grande escala do ataque significa que a aplicação da lei em vários países estará olhando para ver se eles podem seguir o dinheiro e encontrar os Culpados