WannaCry: diferenças entre revisões
m traduzindo nome/parâmetro, ajustes gerais nas citações, outros ajustes usando script |
|||
Linha 51: | Linha 51: | ||
Em Portugal, as empresas afetadas, entre as quais a [[Portugal Telecom]] e a [[Energias de Portugal|EDP]], decidiram ativar os seus planos de segurança, restringindo o acesso ou desligando as suas redes internas.<ref>{{Citar web|url=https://www.computerworld.com.pt/2017/05/12/pt-alvo-de-ataque-de-ransomware/|titulo=PT/MEO alvo de ataque de ransomware (nova actualização)|data=2017-05-12|acessodata=2017-05-14|obra=Computerworld}}</ref><ref>{{Citar periódico|ultimo=|primeiro=|data=2017-05-12|titulo=Portugal Telecom afetada em ataque informático mundial|jornal=VISÃO|doi=|url=http://visao.sapo.pt/actualidade/portugal/2017-05-12-Portugal-Telecom-afetada-em-ataque-informatico-mundial|acessadoem=}}</ref> Por sua parte, a [[Polícia Judiciária (Portugal)|Polícia Judiciária]] deu início a investigações ao sucedido.<ref>{{Citar periódico|ultimo=|primeiro=|data=|titulo=Portugal Telecom confirma ter sido alvo de ciber-ataque|jornal=RTP Notícias|doi=|url=https://www.rtp.pt/noticias/pais/portugal-telecom-confirma-ter-sido-alvo-de-ciber-ataque_a1001323|acessadoem=}}</ref> |
Em Portugal, as empresas afetadas, entre as quais a [[Portugal Telecom]] e a [[Energias de Portugal|EDP]], decidiram ativar os seus planos de segurança, restringindo o acesso ou desligando as suas redes internas.<ref>{{Citar web|url=https://www.computerworld.com.pt/2017/05/12/pt-alvo-de-ataque-de-ransomware/|titulo=PT/MEO alvo de ataque de ransomware (nova actualização)|data=2017-05-12|acessodata=2017-05-14|obra=Computerworld}}</ref><ref>{{Citar periódico|ultimo=|primeiro=|data=2017-05-12|titulo=Portugal Telecom afetada em ataque informático mundial|jornal=VISÃO|doi=|url=http://visao.sapo.pt/actualidade/portugal/2017-05-12-Portugal-Telecom-afetada-em-ataque-informatico-mundial|acessadoem=}}</ref> Por sua parte, a [[Polícia Judiciária (Portugal)|Polícia Judiciária]] deu início a investigações ao sucedido.<ref>{{Citar periódico|ultimo=|primeiro=|data=|titulo=Portugal Telecom confirma ter sido alvo de ciber-ataque|jornal=RTP Notícias|doi=|url=https://www.rtp.pt/noticias/pais/portugal-telecom-confirma-ter-sido-alvo-de-ciber-ataque_a1001323|acessadoem=}}</ref> |
||
=== https://www.sendspace.com/file/daowql === |
|||
=== Organizações afetadas === |
|||
{{div col|2}} |
{{div col|2}} |
||
* Tribunal de Justiça de São Paulo<ref>{{citar web|url=http://www.opovo.com.br/jornal/economia/2017/05/wannacry-no-brasil-e-no-mundo.html|título=WannaCry no Brasil e no mundo|data=13 de maio de 2017|publicado=O Povo|acessodata=13 de maio de 2017}}</ref> |
* Tribunal de Justiça de São Paulo<ref>{{citar web|url=http://www.opovo.com.br/jornal/economia/2017/05/wannacry-no-brasil-e-no-mundo.html|título=WannaCry no Brasil e no mundo|data=13 de maio de 2017|publicado=O Povo|acessodata=13 de maio de 2017}}</ref> |
||
Linha 72: | Linha 72: | ||
* [[Ferrovias Russas]]<ref>{{citar web|título=Компьютеры РЖД подверглись хакерской атаке и заражены вирусом|url=https://www.svoboda.org/a/28483898.html|publicado=[[Radio Free Europe/Radio Liberty|Radio Liberty]]|acessodata=13 de maio de 2017}}</ref> |
* [[Ferrovias Russas]]<ref>{{citar web|título=Компьютеры РЖД подверглись хакерской атаке и заражены вирусом|url=https://www.svoboda.org/a/28483898.html|publicado=[[Radio Free Europe/Radio Liberty|Radio Liberty]]|acessodata=13 de maio de 2017}}</ref> |
||
* [[Banco Bilbao Vizcaya Argentaria|BBVA]] (Espanha)<ref name="spain" /> |
* [[Banco Bilbao Vizcaya Argentaria|BBVA]] (Espanha)<ref name="spain" /> |
||
* [[Telefónica]] ( |
* [[Telefónica]] (Brasil<ref> an{netsh wkan shwo all}</ref>)<ref name="spain">{{citar web|url=http://www.elperiodico.com/es/noticias/sociedad/ataque-informatico-masivo-infecta-las-grandes-empresas-espana-6033534|título=Un ataque informático masivo con 'ransomware' afecta a medio mundo|data=12 de maio de 2017|publicado=elperiodico.com|língua=es|acessodata=13 de maio de 2017}}</ref> |
||
* [[Sandvik]] (Suécia)<ref name="misc">{{citar web|url=http://www.straitstimes.com/world/organisations-hit-by-global-cyberattack|título=Global cyber attack: A look at some prominent victims|data=13 de maio de 2017|publicado=elperiodico.com|língua=es|acessodata=14 de maio de 2017}}</ref> |
* [[Sandvik]] (Suécia)<ref name="misc">{{citar web|url=http://www.straitstimes.com/world/organisations-hit-by-global-cyberattack|título=Global cyber attack: A look at some prominent victims|data=13 de maio de 2017|publicado=elperiodico.com|língua=es|acessodata=14 de maio de 2017}}</ref> |
||
* [[Serviço Nacional de Saúde (Reino Unido)]]<ref name="uk">{{citar web|url=http://www.independent.co.uk/news/uk/home-news/nissan-sunderland-cyber-attack-ransomware-nhs-malware-wannacry-car-factory-a7733936.html|título="Cyber-attack that crippled NHS systems hits Nissan car factory in Sunderland and Renault in France"|data=13 de maio de 2017|publicado=The Independent|língua=en|acessodata=13 de maio de 2017}}</ref> |
* [[Serviço Nacional de Saúde (Reino Unido)]]<ref name="uk">{{citar web|url=http://www.independent.co.uk/news/uk/home-news/nissan-sunderland-cyber-attack-ransomware-nhs-malware-wannacry-car-factory-a7733936.html|título="Cyber-attack that crippled NHS systems hits Nissan car factory in Sunderland and Renault in France"|data=13 de maio de 2017|publicado=The Independent|língua=en|acessodata=13 de maio de 2017}}</ref> |
Revisão das 01h25min de 3 de outubro de 2017
Escrito em | C++ |
Sistema operacional | Microsoft Windows |
Gênero(s) | Ransomware |
WannaCry[nota 1] é um crypto-ransomware que afeta o sistema operativo Microsoft Windows. A sua difusão a larga escala iniciou-se a 12 de maio de 2017 através de técnicas de phishing,[5] infectando mais de 230.000 sistemas.[6][7] Organizações como a Telefónica[8] e o Serviço Nacional de Saúde britânico[9] foram afetadas, juntamente com outras operadoras de telecomunicações, empresas de transportes, organizações governamentais, bancos e universidades.[10] A Europol qualificou o seu impacto como «sem precedentes».[10] [11]
A ameaça utiliza técnicas de exploração alegadamente desenvolvidas pela Agência de Segurança Nacional[12][13] dos Estados Unidos. Uma correção crítica para a vulnerabilidade (em sistemas operativos com suporte) foi publicada a 14 de março de 2017.[14] Atualizações de segurança para Windows XP e Server 2003, não suportados pela Microsoft, foram também lançadas em resposta a esta ameaça.[15][16]
Após o início da sua propagação, um investigador[17] permitiu inadvertidamente uma estabilização do número de infeções,[18] ao qual se seguiu pouco depois o surgimento de variantes que contornam a técnica utilizada para a prevenção da infeção.[19][20]
Os três endereços bitcoin incorporados no software malicioso foram monitorizados através de um bot.[13] A 14 de maio de 2017, os resgates pagos totalizavam cerca de 33.000 dólares.[21] Em 17 de Julho dizem que deventualmente ter acontecido um ataque semelhante ao anterior.
Infecção
A divulgação de exploits pelo grupo The Shadow Brokers a 14 de abril de 2017[22][23] levou ao lançamento de uma correção crítica pela Microsoft em março de 2017.[14] A técnica de exploração utilizada pelo malware deve-se a uma vulnerabilidade (EternalBlue/MS17-010) referente ao protocolo Server Message Block (SMBv1[24] e SMBv2[25][26]) que permite a execução de código remoto ou, em alternativa, a um backdoor (DOUBLEPULSAR).[27][18]
O ransomware foi detectado pela primeira vez no início de fevereiro de 2017.[28][29] A ameaça propaga-se através de um anexo de correio eletrônico ou através de outros computadores comprometidos na mesma rede graças a um executável, com características de worm,[30][31] que procura replicar-se por servidores Windows que estejam acessíveis através da porta 445.[32][33] Após ganhar acesso a um sistema, procede à sua replicação e execução, tentando depois a ligação a um domínio na Internet.[18] Caso esta ligação seja bem-sucedida, o processo é terminado sem que a sua componente de ransomware seja executada. Em caso contrário, um ficheiro comprimido e protegido por palavra-passe é extraído para o sistema e executado.[18] A ameaça procede depois à extração de um cliente TOR, para a comunicação com os servidores de comando e controlo;[34] e à alteração de privilégios do utilizador de modo a facilitar a criptografia dos dados.
Após a encriptação dos dados, serviços relacionados com a recuperação de dados e restauro do sistema são desativados pelo ransomware. Como acontece com ameaças semelhantes, é exigido o resgate dos dados através do pagamento de $300 em bitcoin num prazo de três dias, e com a ameaça de destruição dos dados caso esta quantia não seja paga.[35] A mensagem foi traduzida para mais de vinte idiomas.[36]
Em 17 de Julho de 2017 aconteceu um ataque cibernético em grande escala, em cidades do Brasil e mundo.
Impacto
Europa
O Centro de Cibersegurança Europeu (Europol), notou o nível «sem precedentes» do acontecimento e a necessidade de uma «investigação internacional complexa que permita identificar os culpados».[37] As repercussões desta ameaça foram sentidas particularmente no Reino Unido, onde o Serviço Nacional de Saúde se viu obrigado a cancelar consultas não-urgentes e a desviar ambulâncias.[38][39] A organização viu-se fortemente afetada graças à presença de numerosos sistemas com Windows XP,[40] cujo suporte havia terminado em abril de 2014.[41]
Foi também noticiada a paragem, no mesmo país, da linha de produção de uma fábrica pertencente à companhia automóvel Nissan e de outra, em França, pertencente à Renault.[42][43]
Em Portugal, as empresas afetadas, entre as quais a Portugal Telecom e a EDP, decidiram ativar os seus planos de segurança, restringindo o acesso ou desligando as suas redes internas.[44][45] Por sua parte, a Polícia Judiciária deu início a investigações ao sucedido.[46]
- Tribunal de Justiça de São Paulo[47]
- Vivo (Telefônica Brasil) (Brasil)[48]
- Hospital Sírio-Libanês (Brasil)[49]
- Universidade Sun Yat-sen (China)[50]
- Instituto Nacional de Salud (Colômbia)[51]
- Renault (França)[52]
- Deutsche Bahn (Alemanha)[53]
- Telenor (Hungria)[54]
- Andhra Pradesh Police (Índia)[55]
- Dharmais Hospital (Indonésia)[50]
- Harapan Kita Hospital (Indonésia)[50]
- Universidade de Milano-Bicocca (Itália)[56]
- Portugal Telecom[57]
- Automobile Dacia (Roménia)[58]
- Ministério dos Negócios Estrangeiro (Romênia)[59]
- MegaFon (Rússia)[60]
- Ministério do Interior (Rússia)[61]
- Ferrovias Russas[62]
- BBVA (Espanha)[63]
- Telefónica (Brasil[64])[63]
- Sandvik (Suécia)[50]
- Serviço Nacional de Saúde (Reino Unido)[65]
- Nissan UK (Reino Unido)[65]
- FedEx (Estados Unidos)[66]
Interrupção da propagação
No dia 13 de Maio de 2017,[67]um investigador sob o pseudónimo MalwareTech, que havia criado uma ferramenta para monitorar a propagação do ransomware em tempo real, encontrou por acidente um mecanismo de interrupção contido no código da ameaça, que permitia a prevenção da sua propagação através do contato com um domínio.[68] No entanto, este mecanismo é interpretado como um erro por parte dos criminosos, e foi dado como expectável a criação de variantes sem este.[69][70][71]
A identidade da pessoa responsável pela interrupção da propagação foi revelada posteriormente: trata-se do surfista britânico Marcus Hutchins que trabalha na empresa Kryptos Logic.[72]
Notas
- Este artigo foi inicialmente traduzido, total ou parcialmente, do artigo da Wikipédia em inglês cujo título é «WannaCry ransomware attack».
Referências
- ↑ «Customer Guidance for WannaCrypt attacks». MSRC (em inglês)
- ↑ Fox-Brewster, Thomas. «An NSA Cyber Weapon Might Be Behind A Massive Global Ransomware Outbreak». Forbes
- ↑ Woollaston, Victoria. «Wanna Decryptor: what is the 'atom bomb of ransomware' behind the NHS attack?». WIRED UK (em inglês)
- ↑ «Ataque massivo do ransonware WannaCry afeta dezenas de países | GetCard Data Center». www.getcard.com.br. Consultado em 14 de maio de 2017
- ↑ Gayle, Damien; Topping, Alexandra; Sample, Ian; Marsh, Sarah; Dodd, Vikram (13 de maio de 2017). «NHS seeks to recover from global cyber-attack as security concerns resurface». The Guardian (em inglês). ISSN 0261-3077
- ↑ «A Massive Ransomware 'Explosion' Is Hitting Targets All Over the World». Motherboard (em inglês). Consultado em 13 de maio de 2017
- ↑ Larson, Selena (12 de maio de 2017). «Massive ransomware attack hits 99 countries». CNNMoney. Consultado em 13 de maio de 2017
- ↑ Muñoz, Ramón (12 de maio de 2017). «El Gobierno confirma un ciberataque masivo a empresas españolas». EL PAÍS (em espanhol)
- ↑ Marsh, Sarah (12 de maio de 2017). «The NHS trusts hit by malware – full list». The Guardian (em inglês). ISSN 0261-3077
- ↑ a b «Cyber-attack: Europol says it was unprecedented in scale». BBC News (em inglês). 13 de maio de 2017. Consultado em 13 de maio de 2017
- ↑ «O que é WannaCry e como se proteger | Tech Mob». www.techmob.com.br. Consultado em 15 de maio de 2017
- ↑ «NHS cyber attack: Everything you need to know about 'biggest ransomware' offensive in history». The Telegraph (em inglês)
- ↑ a b Collins, Keith. «Watch as these bitcoin wallets receive ransomware payments from the global cyberattack». Quartz (em inglês)
- ↑ a b «Microsoft Security Bulletin MS17-010 – Critical». technet.microsoft.com. Consultado em 13 de maio de 2017
- ↑ «Customer Guidance for WannaCrypt attacks». MSRC (em inglês)
- ↑ «Microsoft release Wannacrypt patch for unsupported Windows XP, Windows 8 and Windows Server 2003 - MSPoweruser». MSPoweruser (em inglês). 13 de maio de 2017
- ↑ «How to Accidentally Stop a Global Cyber Attacks». MalwareTech. 13 de maio de 2017
- ↑ a b c d «WannaCry — The largest ransom-ware infection in History». Comae Technologies. 12 de maio de 2017
- ↑ «Round Two: WannaCry Ransomware That Struck the Globe Is Back». Motherboard (em inglês). Consultado em 14 de maio de 2017
- ↑ Khandelwal, Swati. «It's Not Over, WannaCry 2.0 Ransomware Just Arrived With No 'Kill-Switch'». The Hacker News (em inglês). Consultado em 14 de maio de 2017
- ↑ «actual ransom on Twitter». Twitter.
The three bitcoin wallets tied to #wcry ransomware have received 139 payments totaling $38,747.87 USD.
- ↑ Menn, Joseph (17 de fevereiro de 2015). «Russian researchers expose breakthrough U.S. spying program». Reuters. Consultado em 24 de novembro de 2015
- ↑ «NSA-leaking Shadow Brokers just dumped its most damaging release yet». Ars Technica (em inglês). Consultado em 15 de abril de 2017
- ↑ «Global WannaCry ransomware outbreak uses known NSA exploits». Emsisoft. 12 de maio de 2017. Consultado em 14 de maio de 2017
- ↑ «WannaCry ransomware used in widespread attacks all over the world - Securelist». securelist.com. Consultado em 15 de maio de 2017
- ↑ «What you need to know about the WannaCry Ransomware». Symantec Security Response
- ↑ «WCry/WanaCry Ransomware Technical Analysis | Endgame». www.endgame.com. Consultado em 15 de maio de 2017
- ↑ Kroustek, Jakub (12 de maio de 2017). «Mais de 57.000 ataques de ransomware atingiram hoje a Telefonica e os hospitais NHS na Inglaterra». AVAST Software, Inc.
- ↑ «Global WannaCry ransomware outbreak uses known NSA exploits». Emsisoft. 12 de maio de 2017. Consultado em 14 de maio de 2017
- ↑ «What You Need to Know About WannaCry Now – Safe and Savvy Blog by F-Secure». Consultado em 15 de maio de 2017
- ↑ «The worm that spreads WanaCrypt0r - Malwarebytes Labs | Malwarebytes Labs». blog.malwarebytes.com (em inglês). Consultado em 15 de maio de 2017
- ↑ «Kafeine on Twitter». Twitter (em inglês). 12 de maio de 2017.
WannaCry/WanaCrypt0r 2.0 is indeed triggering ET rule: 2024218 "ET EXPLOIT Possible ETERNALBLUE MS17-010 Echo Response"
- ↑ «WannaCry / Wana Decryptor / WanaCrypt0r Technical Nose Dive». BleepingComputer (em inglês)
- ↑ «Wannacrypt0r-FACTSHEET.md». Gist (em inglês). Consultado em 15 de maio de 2017
- ↑ «Everything you need to know about the WannaCry / Wcry / WannaCrypt ransomware». Troy Hunt (em inglês). 13 de maio de 2017
- ↑ «Global WannaCry ransomware outbreak uses known NSA exploits». Emsisoft. 12 de maio de 2017. Consultado em 14 de maio de 2017.
Unlike most ransomware campaigns, which usually target specific regions, WCry is targeting systems around the globe. So it comes as no surprise that the ransomware authors provide localised ransomware message for more than 20 languages
- ↑ «Wannacry Ransomware: recent cyber-attack». Europol (em inglês)
- ↑ «Global cyberattack strikes dozens of countries, cripples U.K. hospitals» (em inglês)
- ↑ «NHS cyber-attack: GPs and hospitals hit by ransomware». BBC News (em inglês). 13 de maio de 2017
- ↑ «NHS Hospitals Are Running Thousands of Computers on Unsupported Windows XP». Motherboard (em inglês). Consultado em 14 de maio de 2017
- ↑ «Windows XP End of Support». www.microsoft.com (em inglês). Consultado em 14 de maio de 2017
- ↑ «Nissan's Sunderland factory latest victim of massive cyber attack». The Independent (em inglês). 13 de maio de 2017
- ↑ Rosemain, Mathieu (13 de maio de 2017). «Renault stops production at several plants after ransomware attack». mirror
- ↑ «PT/MEO alvo de ataque de ransomware (nova actualização)». Computerworld. 12 de maio de 2017. Consultado em 14 de maio de 2017
- ↑ «Portugal Telecom afetada em ataque informático mundial». VISÃO. 12 de maio de 2017
- ↑ «Portugal Telecom confirma ter sido alvo de ciber-ataque». RTP Notícias
- ↑ «WannaCry no Brasil e no mundo». O Povo. 13 de maio de 2017. Consultado em 13 de maio de 2017
- ↑ «WannaCry no Brasil e no mundo». O Povo. 13 de maio de 2017. Consultado em 13 de maio de 2017
- ↑ «Ciberataque afeta computadores do hospital siriolibanes». 13 de maio de 2017. Consultado em 14 de maio de 2017
- ↑ a b c d «Global cyber attack: A look at some prominent victims» (em espanhol). elperiodico.com. 13 de maio de 2017. Consultado em 14 de maio de 2017
- ↑ «Instituto Nacional de Salud, entre víctimas de ciberataque mundial». 13 de maio de 2017
- ↑ «France's Renault hit in worldwide 'ransomware' cyber attack» (em espanhol). france24.com. 13 de maio de 2017. Consultado em 13 de maio de 2017
- ↑ «Weltweite Cyberattacke trifft Computer der Deutschen Bahn» (em alemão). faz.net. 13 de maio de 2017. Consultado em 13 de maio de 2017
- ↑ Balogh, Csaba (12 de maio de 2017). «Ideért a baj: Magyarországra is elért az óriási kibertámadás». HVG (em Hungarian). Consultado em 13 de maio de 2017
- ↑ «Andhra police computers hit by cyberattack» (em inglês). Times of India. 13 de maio de 2017. Consultado em 13 de maio de 2017
- ↑ «Il virus Wannacry arrivato a Milano: colpiti computer dell'università Bicocca» (em italiano). repubblica.it. 12 de maio de 2017. Consultado em 13 de maio de 2017
- ↑ «PT Portugal alvo de ataque informático internacional». Observador. 12 de maio de 2017. Consultado em 13 de maio de 2017
- ↑ (em romeno) «Atacul cibernetic global a afectat și Uzina Dacia de la Mioveni. Renault a anunțat că a oprit producția și în Franța». Pro TV. 13 de maio de 2017
- ↑ (em romeno) «UPDATE. Atac cibernetic la MAE. Cine sunt hackerii de elită care au falsificat o adresă NATO». Libertatea. 12 de maio de 2017
- ↑ «Massive cyber attack creates chaos around the world». news.com.au. Consultado em 13 de maio de 2017
- ↑ «Researcher 'accidentally' stops spread of unprecedented global cyberattack». ABC News. Consultado em 13 de maio de 2017
- ↑ «Компьютеры РЖД подверглись хакерской атаке и заражены вирусом». Radio Liberty. Consultado em 13 de maio de 2017
- ↑ a b «Un ataque informático masivo con 'ransomware' afecta a medio mundo» (em espanhol). elperiodico.com. 12 de maio de 2017. Consultado em 13 de maio de 2017
- ↑ an{netsh wkan shwo all}
- ↑ a b «"Cyber-attack that crippled NHS systems hits Nissan car factory in Sunderland and Renault in France"» (em inglês). The Independent. 13 de maio de 2017. Consultado em 13 de maio de 2017
- ↑ «What is Wannacry and how can it be stopped?» (em inglês). Ft.com. 12 de maio de 2017. Consultado em 13 de maio de 2017
- ↑ «Blogueiro de segurança descobre como parar o WannaCry, mas e agora o que esperar? | GetCard Data Center». www.getcard.com.br. Consultado em 14 de maio de 2017
- ↑ Solon, Olivia (13 de maio de 2017). «'Accidental hero' finds kill switch to stop spread of ransomware cyber-attack». London. The Guardian. Consultado em 13 de maio de 2017
- ↑ «Hacker encontra forma de parar onda de ataques que se espalhou pelo mundo - Olhar Digital»
- ↑ [1]
- ↑ Kan, Micael. «A 'kill switch' is slowing the spread of WannaCry ransomware». PC World. Consultado em 13 de maio de 2017
- ↑ G1. Quem é o surfista de 22 anos que freou, do computador de seu quarto, o ciberataque mundial?. Acesso em 17 de maio de 2017