Nos últimos anos os ataques de Ramsomware têm vindo a crescer, mas só agora, com o ataque massivo que começou na semana passada, é que este assunto chegou ao mainstream.
O vírus que tem andado a fazer a vida negra a milhares de utilizadores de computadores Windows em todo o mundo é conhecido pelo nome WannaCry (quero chorar), mas também tem outros nomes, como WannaDecrypt0r, WCry e Wanna Decryptor.
Até agora computadores em mais de 150 países foram afectados por este ransomware que utiliza uma vulnerabilidade do sistema operativo Windows chamada EternalBlue, que foi descoberta pela NSA (National Security Agency) e tornada pública por um grupo de hackers chamado Shadow Brokers em Abril deste ano.
Este ransomware tem como forma inicial de propagação, mensagens de correio electrónico com anexos que infectam o computador onde são abertos. Depois de infectado o computador, o vírus encripta os ficheiros gravados no disco rígido e pede dinheiro ao utilizador para os desbloquear. Se não for feito o pagamento, o valor pedido vai aumentando ao longo do tempo.
O vírus pede inicialmente cerca de 300 dólares em Bitcoin (uma moeda virtual que pode ser convertida em moeda real) para desbloquear os ficheiros encriptados. Desde que o ataque começou, já foram pagos mais de 46 mil dólares em resgates. A informação sobre a quantidade de dinheiro nas carteiras de Bitcoin é pública, mas a informação a quem pertence o dinheiro está encriptada, por isso consegue saber-se quanto dinheiro foi pago para desbloquear os sistemas infectador desde o inicio do ataque. Até foi escrito um Twitter Bot que mostra o ritmo dos pagamentos em tempo real. Pode vê-lo aqui.
Por fim, depois de infectar o computador, o vírus procura uma forma de se propagar para outros computadores automaticamente através da rede local a que essa máquina está ligada. Nesta fase a propagação deixa de ser através de email e passa a ser directa computador a computador.
Apesar da Microsoft ter lançado uma actualização para imunizar os computadores contra a vulnerabilidade utilizada pelo vírus em Março deste ano, a escala do ataque que está a decorrer prova que muita gente não actualiza regularmente os seus computadores, incluindo pessoas que gerem as redes de muitas empresas.
Durante o fim-de-semana, surgiram notícias de que, devido à severidade do ataque, a Microsoft lançou um patch para solucionar a vulnerabilidade usada pelo vírus em computadores que usem o sistema operativo Windows XP. Note-se que o Windows XP foi lançado em 2001 e deixou de ser suportado pela Microsoft em 2014.
Na passada sexta-feira, um especialista em segurança descobriu que o vírus tinha um nome de domínio incluído no seu código que servia para as comunicações do vírus. Ele percebeu que esse domínio não estava registado. Ao registá-lo conseguiu fazer com que o vírus progredisse mais lentamente, dando tempo aos administradores de sistemas nos Estados Unidos e outros países para actualizar os sistemas operativos de várias entidades que podiam estar vulneráveis ao vírus.
Como se pode proteger?
Em primeiro lugar deve ter sempre o Windows actualizado. Não pode falhar nenhuma actualização, sob pena de manter uma porta aberta no computador aos ataques externos.
Mantenha cópias de segurança actualizadas dos seus dados. Se for afectado pelo vírus e não quiser pagar, os dados são perdidos porque não há hipótese de os recuperar sem a palavra-chave que está na posse dos hackers. Por isso, actualize as cópias de segurança, pelo menos dos ficheiros mais importantes.
Não abra anexos de email vindos de fontes que não conhece. E mesmo conhecendo, se algo lhe parecer estranho (por exemplo se o corpo do e-mail tiver erros ortográficos ou notar que foi usado um tradutor automático, como o Google Translate), não os abra.
