Sequestro digital do WannaCry não rouba dados; entenda o ransomware
« Voltar
O vírus de resgate WannaCry não é programado para roubar as informações das vítimas. O código não prevê o envio dos arquivos criptografados para os chamados "servidores de controle" - as máquinas que enviam comandos a cada computador infectado pelo vírus. O que a praga envia aos criminosos é uma chave criptográfica gerada durante a infecção.
Mesmo que a vítima do vírus decida pagar para ter os seus arquivos de volta, os dados não são enviados para os criminosos. Apenas a chave criptográfica gerada pelo próprio vírus precisa ser transferida para os golpistas. Os criminosos usam uma chave em posse deles para decifrar essa chave criada pelo vírus e a devolvem para a vítima, permitindo que o vírus recupere ele mesmo os arquivos da vítima.
Em outras palavras, o vírus gera uma chave para criptografar os arquivos da vítima ("chave do vírus") e depois criptografava esta chave com outra chave controlada pelos criminosos ("chave-mestra"). O vírus faz uso da chamada "criptografia assimétrica", o que significa que ele pode criptografar algo de modo que só a chave-mestra pode abrir sem de fato possuir a chave-mestra. Isto é o que dificulta a recuperação dos dados.
Esse método de operação dispensa o armazenamento de dados detalhados sobre cada vítima. Tudo que é necessário para recuperar os arquivos está no próprio computador infectado.
Embora o vírus não tenha sido criado com a intenção de roubar informações das vítimas, a praga consulta "centrais de controle", que dá aos criminosos a possibilidade de enviar comandos às máquinas contaminadas. Na prática, o vírus parece funcionar mesmo sem instruções específicas.
Segundo as análises de especialistas, o vírus é capaz de usar dois códigos desenvolvidos pela Agência de Segurança Nacional dos Estados Unidos (NSA). Na agência, os códigos eram conhecidos como "DoublePulsar" e "EternalBlue". O EternalBlue permite ao vírus se espalhar automaticamente de um computador para outro, caso a vítima utilize o Windows 7 ou Windows Server 2008 e não tenha aplicações as correções da Microsoft de março.
Já o "DoublePulsar" permite o acesso remoto da máquina e tem a particularidade de não usar arquivos -- ele reside exclusivamente na memória. Assim, mesmo que os arquivos da contaminação do WannCry sejam removidos, o computador ainda precisa ser reiniciado para garantir uma limpeza da memória onde o DoublePulsar reside.
O DoublePulsar está ativo na internet desde abril e já teria atacado cerca de 500 mil computadores, segundo a empresa de segurança BinaryEdge.
Segundo a "BBC", uma análise das carteiras de bitcoin usadas para a receptação do dinheiro revela que apenas US$ 60 mil (R$ 187 mil) foram arrecadados com resgates. Como o vírus solicita um mínimo de US$ 300 por vítima, isso indicaria que cerca de 200 pessoas teriam pago pelo resgate, cerca de 0,1% das 217 mil vítimas contabilizadas pelo especialista em segurança "Malwaretech".
Mensagem do vírus WannaCry solicitando resgate de US$ 300. Valor aumenta caso a vítima demore a pagar. (Foto: Reprodução)
Vírus oferece "amostra grátis", mas criptografia é forte
Segundo uma análise da fabricante de antivírus McAfee, o WannaCry é capaz de decifrar gratuitamente alguns arquivos em uma pasta específica do computador. Essa rotina possivelmente foi criada para que os criadores do vírus possam convencer as vítimas que duvidarem da capacidade do vírus de decodificar os arquivos.
Segundo a empresa de segurança Fox-IT, porém, a criptografia adotada pelo WannaCry não parece apresentar qualquer vulnerabilidade e é, no momento, inquebrável. Para recuperar os arquivos sem pagar, seria preciso ter acesso à chave criptográfica que está nas mãos dos criminosos.
Praga pode não ter usado e-mail
As primeiras informações sobre o vírus sugeriram que a praga provavelmente entrava na rede das organizações por e-mail. Em seguida, o vírus se espalhava rapidamente na rede interna usando a brecha de segurança EternalBlue, desenvolvida pela NSA.
Mas, segundo a McAfee, o vírus gera uma lista aleatória de alvos, inclusive fora da rede interna. Isso significa que a praga é capaz de se espalhar diretamente pela internet através da "EternalBlue", o que dispensaria a necessidade de e-mail.
Nas versões do vírus que estão em circulação, a praga só é capaz de usar a brecha para atacar sistemas com Windows 7 e Server 2008. Em outras versões do Windows, o código não funciona como esperado. A vulnerabilidade, porém, pelo menos desde o Windows XP e afeta inclusive o Windows 10, o que significa que versões mais refinadas do vírus podem atacar todos esses sistemas.
Se for confirmado que não houve outro método de disseminação do vírus, as empresas atacadas podem ter cometido o erro de deixar algum computador com conexão direta à internet sem o bloqueio das portas de conexão do protocolo Server Message Block (SMB), o componente do Windows vulnerável ao EternalBlue.
O bloqueio das portas do SMB em rede externa é uma recomendação de segurança antiga e vem de fábrica no Windows desde o Windows XP Service Pack 2, de 2004. A brecha EternalBlue foi corrigida pela Microsoft em março.
Atuando no mercado de desenvolvimento de sites desde 2006, a e-nology atua para aproximar você e seu cliente através da internet com soluções para as mais variadas áreas de atuação e tamanhos de empresas.
Consulte-nos e descubra como é simples ter seu negócio divulgado na internet.
