O software malicioso atacou o serviço de saúde da Grã-Bretanha e empresas na Espanha, Rússia, Ucrânia e Taiwan. O que é e como é que está retendo dados por dinheiro?

O software maligno WannaCry atingiu o Serviço Nacional de Saúde da Grã-Bretanha, algumas das maiores empresas da Espanha, incluindo a Telefónica. Além de computadores em toda a Rússia, Ucrânia e Taiwan, levando a PCs e dados a serem trancados e retidos para resgate.

O ransomware usa uma vulnerabilidade revelada ao público, através de um conjunto de documentos filtrados relacionados com a NSA, para infectar PCs Windows e que encripta os seus conteúdos, antes de exigir pagamentos de centenas de dólares pela chave para decifrar arquivos.

O ataque coordenado conseguiu infectar um grande número de computadores em todo o serviço de saúde em menos de seis horas depois de ter sido notado pela primeira vez pelos pesquisadores de segurança, em parte devido à sua capacidade de propagação em redes de PC para PC.

O ransomware causou hospitais em toda a Inglaterra desviar os pacientes de emergência, mas o que é, como ele se espalha e por que isso está a acontecer em primeiro lugar?

O que é o ransomware?

O ransomware é um tipo particularmente malicioso de malware que bloqueia o acesso a um computador ou seus dados e exige dinheiro para liberá-lo.

Como funciona?

Quando um computador é infectado, o ransomware normalmente entra em contacto com um servidor central para as informações que precisa activar. Em seguida, começa a encriptar arquivos no computador infectado com essa informação. Uma vez que todos os arquivos são encriptados, ele publica uma mensagem pedindo pagamento para desencriptar os arquivos. Finalmente, ameaça destruir as informações se não for pago, muitas vezes com um temporizador conectado para acelerar a pressão.

Como se espalha?

A maioria dos ransomware são espalhados escondidos em documentos do Word, PDFs e outros arquivos normalmente enviados por e-mail. Assim como, através de uma infecção secundária em computadores já afectados por vírus que oferecem uma porta traseira para novos ataques.

O que é WannaCry?

O malware que afectou a Telefónica na Espanha e o NHS na Grã-Bretanha é o mesmo software: uma peça de ransonware. Este foi inicialmente descoberto pelos pesquisadores de segurança MalwareHunterTeam, às 9h45 de 12 de maio.

Menos de quatro horas depois, o ransomware havia infectado computadores do NHS. Originalmente apenas em Lancashire, e logo lateralmente por toda a sua rede interna. Também é chamado WanaCrypt0r 2.0, Wanna Decryptor 2.0, WCry 2, WannaCry 2 e Wanna Decryptor 2.

Quem são eles?

Os criadores desta peça de ransomware ainda são desconhecidos, mas WannaCry é sua segunda tentativa de ciber-extorsão. Uma versão anterior, chamada WeCry, foi descoberta em Fevereiro deste ano. Esta pediu aos usuários 0.1 bitcoins (actualmente valem US$177, mas com um valor flutuante) para desbloquear arquivos e programas.

Como a NSA está ligada a este ataque?

Uma vez que um usuário tenha involuntariamente instalado o ransomware no seu próprio PC, este tenta espalhar-se para outros computadores na mesma rede. Para isso, a WannaCry usa uma vulnerabilidade conhecida no sistema operacional Windows, saltando entre PC e PC. Esta fraqueza foi revelada pela primeira vez ao mundo como parte de um enorme filtração de ferramentas de hacking da NSA e fraquezas conhecidas por um grupo anónimo que se chamava “Shadow Brokers” em Abril.

Houve alguma defesa?

Sim. Pouco antes de o Shadow Brokers lançar os seus arquivos, a Microsoft emitiu um patch para versões afectadas do Windows. Esta garantia que a vulnerabilidade não pudesse ser usada para espalhar malware entre versões totalmente actualizadas de seu sistema operacional. Mas por muitas razões, desde falta de recursos até a falta do desejo de testar novas actualizações, as organizações muitas vezes são lentas para instalar essas actualizações de segurança em grande escala.

Quem são os Shadow Brokers? Eles estavam atrás desse ataque?

De acordo com quase todo o resto do mundo da guerra cibernética, a atribuição é complicada. Mas parece improvável que os Shadow Brokers tenham sido directamente envolvidos no ataque do ransomware. Em vez disso, algum desenvolvedor oportunista parece ter descoberto a utilidade da informação incluída nos arquivos filtrados e actualizou o seu próprio software de acordo. Quanto aos Shadow Brokers, ninguém realmente sabe, mas os dedos apontam para os russos como culpados prováveis.

O pagamento do resgate realmente desbloqueará os arquivos?

Às vezes, o pagamento do resgate funciona, mas às vezes não. Para o Ransomware Cryptolocker que atingiu alguns anos atrás, alguns usuários relataram que eles realmente conseguiram os seus dados de volta depois de pagar o resgate, que era geralmente em torno de £300. Mas não há garantia de que o pagamento funcione, porque os cibercriminosos não são exactamente o grupo mais confiável de pessoas.

Há também uma colecção de vírus que se desviam para se parecer com o ransomware, como o Cryptolocker. Porém, este não irá entregar os dados se as vítimas paguem. Além disso, há a questão ética: pagar os fundos de resgate mais crime.

O que mais eu posso fazer?

Uma vez que o ransomware encripta os seus arquivos, não há muito o que você pode fazer. Se você tiver um backup dos arquivos, você poderá restaurá-los depois de limpar o computador. Mas caso contrario, os seus arquivos podem ter desaparecido para sempre.

Alguns Ransomware mal concebidos, no entanto, foram hackeados por pesquisadores de segurança, permitindo a recuperação de dados. Mas tais situações são raras e tendem a não se aplicar no caso de sucessos profissionais de grande escala, como o ataque WannaCry.