Remoção de WannaCry

Uma mancha ransomware apelidada WannaCry está a fazer as manchetes das principais fontes mundiais em matérias de segurança. Essa atenção tem um motivo. Esta infeção atacou várias grandes corporações na Europa durante os últimos dias, e continua a registar resultados de forma rápida. O Trojan sequestrador encripta os registos de dados que pertencem aos alvos e maculam-nos com a extensão .WNCRY.

O que é o ransomware WannaCry?

O ficheiro de vírus .WNCRY, que também se manifesta na forma de Wana Decrypt0r 2.0, representa uma linhagem relativamente nova de ameaças encriptadas. No exterior, parece idêntico ao seu percursor conhecido como WCRY, ou Wanna Decryptor 1.0. Parece que os arquitetos desta campanha, há pouco mais de um mês, lançaram uma versão atualizada desta praga. A mais recente variante provou ser bastante mais complexa e robusta em termos de propagação, no seu mecanismo de encriptação e nas técnicas de extorsão. A rapidez da sua circulação não tem precedentes – ao que parece infetou um incrível número de 57,000 computadores em apenas algumas horas a 12 de maio de 2017. Esta prevalência é explic ada pelo fato de que os criminosos cibernéticos estão a usar as fraquezas da NSA, exibidas pelos hackers no início do mês. Desta forma, os bandidos conseguem aceder às estações de trabalho remotamente via RDP e executam o ransomware sem terem de fazer engenharia social com as vítimas.

Wana Decrypt0r 2.0

Identificar esta mancha é algo relativamente prosaico. Após concluir a cadeia de contaminação, configura o sistema-alvo para que ele exiba uma nova imagem no fundo do ambiente de trabalho, com uma mensagem escrita nele. Além disso, surge um ecrã com o título Wana Decrypt0r 2.0, disponibilizando detalhes daquilo que aconteceu e exibindo o limite temporal durante o qual deverá ser pago o resgaste. A informação nesta janela também inclui o tamanho do resgaste, que é o equivalente Bitcoin a $300, assim como um endereço Bitcoin para enviar dinheiro digital. Outro ponto clássico e malicioso deste assalto é a nova extensão adicionada aos dados que são encriptados. A lista de possíveis extensões nessa altura incluem: .WNCRY, .WCRY, .WNRY, e .WNCRYPT. A primeira, .WNCRY, é aquela encontrada com maior frequência nesta onda particular de ransomware. Os nomes dos ficheiros originais não são alterados, ou seja, as vítimas são confrontadas com a seguinte transformação de um ficheiro exemplificativo: Chart.xlsx – Chart.xlsx.WNCRY.

@Please_Read_Me@.txt

O ransomware WannaCry também deixa um texto simples enquanto nota de resgate para garantir que a vítima não irá deixar de encontrar o guia de desencriptação imposto pelos atacantes. Chama-se @Please_Read_Me@.txt. As palavras nele contidas são ligeiramente diferentes daquelas supracitadas na janela de aviso acima. Ele diz “O que há de errado com os meus ficheiros? Oooops, os seus ficheiros importantes estão encriptados…” Resumindo, o método de recuperação sugerido pelos patifes pressupõe um pagamento obrigatório por parte do utilizador de $300 em Bitcoin e depois a execução de uma aplicação chamada @wanadecryptor@.exe, que é colocada no computador como parte do ataque.

WannaCry papel de fundo

Para se proteger de uma eventual liquidação, o vírus WannaCry exibe algumas dicas no novo papel de fundo do ambiente de trabalho. Dá-lhe passos que são aplicáveis caso o pacote antimalware tenha removido a ferramenta Wana Decrypt0r. A mensagem do ambiente de trabalho especifica as instruções para executar novamente esse arquivo malicioso a fim de proceder com a desencriptação através do pagamento. Resumidamente, os ataques parecem bem formulados independem ente do ângulo de abordagem, o que sugere que a campanha está a ser operacionalizada por atores com bastante experiência em extorsão. A distribuição tecnicamente complexa via RDP mostra também de que esses ladrões não são novatos em relação àquilo que fazem. Então a indústria securitária está agora a enfrentar outro adversário qualificado, e esperemos que os chapéus brancos consigam formular um método de resposta em breve.

Entretanto, o WannaCry continua a infetar organizações e utilizadores finais em larga escala. Algumas das vítimas reportadas incluem uma operadora de telecomunicações espanhola e um número de instituições de saúde no Reino Unido. Claro, a melhora defesa é não ser infetado à partida. Se a infeção ocorreu, as instruções abaixo são o ponto de partida para a resolução de problemas.

Remoção automática do ransomware WannaCry

Graças a uma base de dados atualizada em relação a assinaturas de malware e deteção comportamental inteligente, o software recomendado pode rapidamente localizar a infeção, erradicando-a e remediando todas as alterações maliciosas. Portanto vá em frente e faça o seguinte:

  • Descarregue e instale uma ferramenta antimalware. Abra essa solução e analise o seu PC à procura de PUPs e outros tipos de software malicioso ao clicar em Iniciar Iniciar Verificação do Computador (Start Computer Scan)

Descarregue o eliminador do vírus dos ficheiros .WNCRY

  • O relatório de verificação irá sem margem para dúvidas listar todos os itens que possam afetar o seu sistema operativo. Selecione as entradas detetadas e clique em Consertar Ameaças (Fix Threats) para que a resolução de problemas fique completa.

Métodos para recuperar ficheiros .WNCRY não ransom

Quebrar a encriptação usada por este trojan ransom é algo mais semelhante a algo saído da ficção científica do que uma perspetiva alcançável para as massas. É por isso que a resolução de problemas em situações complicadas deste género assenta em duas abordagens: uma é pagar o resgate, o que não é uma opção para muitas vítimas; e a outra é aplicar os instrumentos que tiram partido das eventuais fraquezas do ransomware. Se o seu caso for este último, o conselho abaixo é de tentativa obrigatória.

As cópias de segurança podem salvar-lhe o dia

Não só é uma pessoa com sorte caso tenha estado a fazer uma cópia de segurança dos seus ficheiros importantes, mas também um utilizador inteligente e prudente. Hoje em dia, isto não representa uma atividade necessariamente pesada a nível de recursos – na verdade, alguns provedores de serviços online estão a alocar espaço gratuito suficiente em alojamentos de nuvem para que cada cliente possa facilmente fazer o upload dos seus dados críticos sem precisar de pagar um cêntimo. Assim que tiver removido o seu ransomware WannaCry, só precisará de descarregar as suas coisas do servidor remoto ou transferi-las para um elemento externo de hardware caso seja esse o caso.

Restaure versões anteriores dos ficheiros encriptados

Conseguir um resultado positivo ao utilizar esta técnica depende se o ransomware eliminou ou não as Cópias Sombra de Pastas dos ficheiros no seu PC. Este é um recurso do Windows que de forma automática cria e mantém cópias de segurança dos elementos de dados no disco rígido, desde que o Restauro do Sistema esteja ativo. O cryptoware em questão está programado para desligar o Serviço de Cópias Sombra de Pastas (VSS), mas já falhou esse objetivo nalguns casos. Verificar quais são as suas opções acerca desta solução pode ser feito através de duas formas: no menu Propriedades de cada ficheiro ou com uma notável ferramenta open-source chamada ShadowExplorer. Recomendamos o método em que se aplica este software pois ele é automatizado e, por conseguinte, é mais rápido e mais fácil. Só tem de instalar a aplicação e utilizar os seus controlos intuitivos para obter e reintegrar as versões anteriores dos objetos encriptados.
ShadowExplorer

Kit de ferramentas de recuperação de dados chamado à ação

Algumas estirpes de ransomware são conhecidas por apagarem os ficheiros originais após cumprirem a sua encriptação. Apesar de esta atividade parecer bastante hostil, poderá jogar a seu favor. Existem aplicações desenhadas para reavivar informação que foi obliterada graças ao mau funcionamento de um hardware ou devido a uma remoção acidental. A ferramenta conhecida como Data Recovery Pro da ParetoLogic contém este tipo de capacidade, logo pode ser usada em cenários de ataques ransom para, pelo menos, reaver alguns ficheiros importantes. Portanto descarregue e instale o programa, execute uma verificação e deixe que ele faça o seu trabalho.
Data Recovery Pro

Reveja o seu estado de segurança

Uma avaliação pós-ocorrência do fator precisão em cenários de remoção de hardware é um excelente hábito que previne o regresso de código malicioso ou a replicação de frações que se encontrem sem vigilância. Assegure-se de que está pronto ao executar uma verificação de segurança adicional.

Descarregue a ferramenta de remoção do ransomware WannaCry