domingo, 14 de maio de 2017

WannaCry - O que é, Riscos, Proteção, Remendos, Testes, Informações e Notícias

"Téchne Digitus - Because information wants to be free

e não sequestrada..."


WannaCry - O que realmente você precisa saber?


O que é o WannaCry?

O WannaCry é um ramsonware, um malware que criptografa seus arquivos e pede um pagamento resgate para descriptografá-los.

O WannaCry 2.0 é uma variação do WannaCry que ganhou um novo vetor de contaminação via worm desenvolvido com um exploit criado pela NSA (National Security Agency) dos EUA e, que foram roubados e vazados pelo grupo TheShadownBrokers.

Quem está em risco?

Sistemas que utiliza a maioria das versões do Microsoft Windows. (Lista Completa de Sistemas Vulneráveis)

Como se proteger?

- Mantenha o Microsoft Windows Atualizado: Irá sanar a vulnerabilidade que permite o worm se proliferar via rede.

- Use um anti-vírus atualizado: Irá impedir a execução do malware

Como descriptografar os arquivos sequestrados?

Foi criado o WannaKey, que funciona para descriptografar arquivos na própria máquina infectada, antes de ser reiniciada. O utilitário foi 100% validado em casos com Windows XP e existem grandes chances de funcionar em outras versões do Windows.

Obtenha o utilitário e confira todas as informações sobre ele em: https://github.com/aguinet/wannakey

Remendos Emergenciais

Existem dois remendos (entendo por remendo solução paleativas rápidas) disponíveis quando não se pode instalar as atualizações ou manter um anti-vírus atualizado.

- Desabilitar o serviço SMB do Windows (impede o worm de contaminação via rede):

Disable SMB Service - Téchne Digitus
Source: https://www.facebook.com/pg/thehackernews/photos/?ref=page_internal
- Executar o NoMoreCry utilitário criado por CCN-CERT
 ( funciona como uma vacina para impedir o ataque local do ransomware)


Executar o NoMoreCry (em exe ou em bat - ou os dois), manualmente como admin ou enforçado pelo ActiveDirectory. Todas as informações necessárias estão em: https://loreto.ccn-cert.cni.es/index.php/s/tYxMah1T7x7FhND?path=%2F

Deve ser executado toda vez que o Windows for iniciado.

Quero testar o WannaCry, como faço?


Em um ambiente de testes isolado (se não souber criá-lo, não o faça), baixe amostras do WannaCry e teste.

Primeiro teste a infecção para conhecer o comportamento do malware.
Depois teste um ambiente com as devidas proteções antes de executar o malware.

Você encontra links para baixar amostras do ramsonware em: https://gist.github.com/pcostesi/87a04a3bbbdbc4aeb8b787f45eb21197#cc-centers

Quero testar remotamente meus servidores e estações se estão infectadas pelo backdoor "DoublePulsar" criada pela NSA e vazada pelo grupo TheShadowBrokers, como faço?

Utilize os scripts "doublepulsar-detection-script" em Python, disponíveis em https://github.com/countercept/doublepulsar-detection-script

Quero testar remotamente se meus servidores e estações estão vulneráveis, como faço?

Utilize o script "smb_ms17_010" em Python ou Ruby, disponível em https://github.com/RiskSense-Ops/MS17-010/tree/master/scanners

Quero acompanhar o status da contaminação global, como faço?


Acesse o link: https://intel.malwaretech.com/botnet/wcrypt (vide WannaCrypt)

WannaCry Map - Téchne Digitus

Fotos da Contaminação Global

WannaCry01 - TéchneDigitus

WannaCry02 - TéchneDigitus

WannaCry03 - TéchneDigitus
WannaCry04 - TéchneDigitus

WannaCry05 - TéchneDigitus

WannaCry06 - TéchneDigitus

Como estar por dentro das últimas novidades sobre o Caso WannaCry?

Recomendamos seguir no Twitter: @MalwareTechBlog@TheHackersNew