Wana Decrypt0r - um ransomware extremamente perigoso que já infectou 60K usuários em todo o mundo

Wana Decryptor é um vírus do tipo ransomware que sacudiu a Internet em 12 de maio de 2017. Foi anunciado pela primeira vez quando criptografou arquivos da Telefonica Espanhola, Portugal Telecom e NHS Hospitais na Inglaterra. [1] No entanto, apenas algumas horas depois, especialistas em segurança informaram sobre 60K usuários infectados com Wana Decrypt0r 2.0, incluindo usuários da Rússia, Ucrânia e Taiwan. [2] Este vírus é sabido também como  WCry , WNCry, WannaCry, e  WanaCrypt0r . Wana Decryptor é acreditado para ser a versão 2.0 do ransomware de WCry que tinha usado estratégias similares a  Cryptolocker.

Assim que o ransomware infecta o sistema, ele criptografa arquivos com algoritmos de criptografia AES e RSA e cai .wcry, .wcryt, .wncry ou. Wncrrytt extensões de arquivo para cada um desses arquivos. Como resultado , nomes de arquivo tornam-se assim: o _ file_name_en.jpg.WNCRY . Além disso, o vírus deixa @Please Read Me @ .txt nota de resgate no desktop da vítima fornecendo bitcoin endereço e detalhes semelhantes que são supostamente para ajudar a vítima chegar a seus criadores. Ainda não se sabe quantas autoridades pagaram taxas de resgate. Alegadamente, eles são exigidos 300 dólares EU por computador em bitcoin para recuperar o acesso aos seus dados. Se você está infectado com este ransomware, você deve deixá-lo sem chances de criptografar seus arquivos. Você pode remover Wana Decrypt0r 2.0 com Reimage . Vírus deixa @Please Read Me @ .txt nota de resgate na área de trabalho da vítima fornecendo bitcoin endereço e detalhes semelhantes que são supostos para ajudar a vítima chegar a seus criadores. Ainda não se sabe quantas autoridades pagaram taxas de resgate. Alegadamente, eles são exigidos 300 dólares EU por computador em bitcoin para recuperar o acesso aos seus dados. Se você está infectado com este ransomware, você deve deixá-lo sem chances de criptografar seus arquivos. Você pode remover Wana Decrypt0r 2.0 com Reimage . Vírus deixa @Please Read Me @ .txt nota de resgate no desktop da vítima fornecendo bitcoin endereço e detalhes semelhantes que são supostos para ajudar a vítima chegar a seus criadores. Ainda não se sabe quantas autoridades pagaram taxas de resgate. Alegadamente, eles são exigidos 300 dólares EU por computador em bitcoin para recuperar o acesso aos seus dados. Se você está infectado com este ransomware, você deve deixá-lo sem chances de criptografar seus arquivos. Você pode remover Wana Decrypt0r 2.0 com Reimage . Se você está infectado com este ransomware, você deve deixá-lo sem chances de criptografar seus arquivos. Você pode remover Wana Decrypt0r 2.0 com Reimage . Se você está infectado com este ransomware, você deve deixá-lo sem chances de criptografar seus arquivos. Você pode remover Wana Decrypt0r 2.0 com Reimage .

Técnicas de distribuição

O ransomware do Wana Decryptor foi distribuído apenas entre máquinas baseadas no Windows. Não pode afetar o Mac OS X. Você pode ficar infectado com o ransomware através da vulnerabilidade EternalBlue [3] encontrada nas versões Windows Vista, 7, 8, 10 e Windows Server. Não importa que a Microsoft tenha corrigido essa vulnerabilidade em março, é óbvio que nem todos os usuários de PCs e confianças o corrigiram. Se você não obtiver patches da Microsoft indexados como MS17-010, CVE-2017-0146 e CVE-2017-0147, os hackers podem usar o exploit EternalBlue para infiltrar seu computador e infectá-lo com WannaCry. Ainda é desconhecido que os hackers ainda estão usando spam para espalhar esse malware. Contudo,

Guia de remoção do Wana Decrypt0r 2.0

Para remover Wana Decrypt0r, você precisa se livrar de cada um dos seus arquivos. É altamente recomendável usar o anti-spyware atualizado para esta tarefa porque você precisa ser um profissional para encontrar esses arquivos manualmente. Se você foi infectado , use Reimage , Plumbytes ou Malwarebytes Anti Malware para corrigir o seu computador após o ataque do vírus Wana Decryptor. Claro, quando dealign com ransomware, você sempre pensar sobre a recuperação de seus arquivos. Para isso, você deve usar backups de dados que você deve salvar em locais separados (discos rígidos externos, nuvens, etc.), e não no seu computador. No entanto, se você precisar de outra solução porque você não tem arquivos de backup, você pode tentar usar soluções de recuperação de dados fornecidas abaixo.

Para remover Wana Decrypt0r ransomware vírus siga estas etapas:

• Método 1. Remover Wana Decrypt0r usando modo de segurança com rede
• Método 2. Remover Wana Decrypt0r usando Restauração do sistema
• Bônus: Recuperar seus dados

Wana Decrypt0r usa o exploit ETERNALBLUE da NSA

O que era claro sobre este ransomware era que Wana Decrypt0r era extremamente virulento. Aquele que desvendou o mistério foi o pesquisador de segurança francês Kafeine, que foi o primeiro a notar que Wana Decrypt0r disparou alertas de segurança para ETERNALBLUE, uma suposta exploração da NSA vazada on-line no mês passado por um grupo nefasto conhecido como The Shadow Brokers.

ETERNALBLUE funciona explorando uma vulnerabilidade no protocolo SMBv1 para obter uma posição em máquinas vulneráveis ​​conectadas on-line. A Microsoft corrigiu a falha no MS17-010 , lançado em março, mas isso não significa que todos os proprietários de PCs do Windows tenham aplicado a atualização de segurança .

Unpatched Windows máquinas expostas online hoje correm o risco de ser explorado com ETERNALBLUE e, em seguida, infectado com Wana Decrypt0r.

UPDATE: Após a publicação deste artigo CERT Espanha e outros especialistas em segurança confirmaram vendo os atores Wana Decrypt0r também caindo malwares DOUBLEPULSAR da NSA em sistemas infectados também. Este é um kernel do Windows Ring-0 exploit - também desenvolvido pela NSA e divulgado pelos Shadow Brokers - que foi usado por um ator desconhecido no final de abril para infectar mais de 36.000 computadores em todo o mundo . DOUBLEPULSAR é o que é chamado de "carregador de malware", usado para baixar e instalar outros malwares.

Mais de 57.000 infecções Wana Decrypt0r detectadas

A CERT Espanha e a pesquisadora de segurança MalwareTech confirmaram as descobertas originais de Kafeine. O último até criou um mapa ao vivo mostrando novas vítimas Wana Decrypt0r infectadas em tempo real.

Quem está por trás deste ransomware investiu recursos pesados ​​em operações Wana Decrypt0r. Nas poucas horas que este ransomware tem sido ativo, ele fez muitas vítimas de alto perfil em todo o mundo. De acordo com o pesquisador Jakub Kroustek da segurança de Avast, Wana Decrypt0r fêz sobre 57.000 vítimas em apenas algumas horas.

Algumas das primeiras vítimas foram empresas espanholas , como a Telefónica - provedora de telecomunicações, a Gas Natural - provedora de gás natural ea Iberdrola - fornecedora de energia elétrica.

Mais tarde no dia, a onda de infecções Wana Decrypt0r se espalhou para o Reino Unido, onde atingiu um grande número de hospitais e clínicas. O Serviço Nacional de Saúde do Reino Unido emitiu um alerta sobre os ataques hoje.

View image on Twitter

 Follow

Myles Longfield @myleslongfield

Shocking that our @NHS is under attack and being held to ransom. #nhscyberattack

12:00 PM - 12 May 2017

 
•  1010 Retweets
 
•  66 likes

 Follow

１２Ｂ @dodicin

A ransomware spreading in the lab at the university

8:24 AM - 12 May 2017

 
•  1,1091,109 Retweets
 
•  785785 likes

View image on Twitter

 Follow

Marco Aguilar @Avas_Marco

Just got to Frankfurt and took a picture of this... #Sbahn, you got a #Ransomware!

4:03 PM - 12 May 2017

 
•  1,2081,208 Retweets
 
•  741741 likes

Outras vítimas também incluem o ministro russo do Interior , Portugal Telecom , e um grande número de universidades na China .

Entretanto, Bleeping Computer aprendeu de uma fonte interna que a Telenor Hungria - um fornecedor de telecomunicações local - também sofreu um incidente semelhante. Assim como a Telefonica, emitiu um alerta de alerta de SMS para encerrar PCs ou desconectá-los de redes VPN internas. Outra fonte também disse ao Bleeping Computer que o escritório da FedEx em Memphis está dizendo aos funcionários para desligar seus PCs em um incidente um tanto semelhante.

Até o final do dia, a Kaspersky Lab informou que 3 de 4 Wana Decrypt0r infecções estavam ocorrendo na Rússia, de longe o país mais alvo.

Com o passar do tempo, esperamos que o número de vítimas de Wana Decrypt0r aumente ao longo dos próximos dias. O que quer que aconteça, os operadores deste ransomware fizeram um nome para se e cinzelaram um lugar para seu malware na sabedoria de infosec.

No mês passado, o desenvolvedor do ransomware AES-NI reivindicou sua ransomware também usou o ETERNALBLUE explorar. Infecções com AES-NI cravado em um fim de semana, mas morreu depois e nunca foi ouvido de novo.

Para aqueles afetados, você pode discutir este ransomware e receber suporte no WanaCrypt0r dedicado & Wana Decrypt0r Ajuda e Suporte tópico . Bleeping Computer também publicou uma análise técnica do ransmware Wana Decrypt0r.

Crédito da imagem: MalwareTech