Eu antecipei isso no mês passado. Agora está em todos os noticiários do Brasil que um ransonware turbinado pelo doublepulsar está fazendo vítimas em todo o mundo. As reportagens falam em “Eternalblue”, que até onde sei é o nome da vulnerabilidade. Doublepulsar é o nome da ferramenta que a explora. Eu posso ter confundido as coisas mas o fato é que na prática os dois termos se referem ao mesmo problema.
Muita bobagem está sendo dita por aí em fóruns por isso vou aproveitar para lembrar a todos de alguns pontos sobre esse problema:
- Ramsonware não precisa de permissões de administrador em nenhum sistema operacional. Repita comigo: “Ramsonware não precisa de permissões de administrador em nenhum sistema operacional!”. Isso é auto-evidente para profissionais de TI (mesmo os meia-boca como eu) mas meros usuários podem cometer o erro de achar que rodando como usuário limitado estão seguros;
- Eternalblue/Doublepulsar também não precisa de permissões de administrador. É um ataque “anel zero” (obtém o mais alto privilégio existente) remoto que não precisa sequer que um usuário esteja logado na máquina para operar;
- A máquina não estar ligada diretamente à internet não a torna segura. Qualquer vírus/worm desse tipo se desloca “lateralmente”. Basta uma máquina infectada por qualquer meio que seja (e-mail, pendrive, etc) ser conectada à rede para o vírus se instalar em qualquer outra máquina da mesma sub-rede que não esteja protegida.
Sim, a união de Eternalblue/DoublePulsar com um ransonware é uma catástrofe.
Como se proteger (ainda em avaliação)
Windows XP e 2003 não tem proteção (não tinham! leia comentários). Abandone-os ou desative o suporte a SMB da máquina. Você não poderá mais compartilhar arquivos e impressoras na máquina*, mas se seu uso não requer isso, tudo bem. Entretanto empreenda esforços para que qualquer instalação rodando Windows XP ou 2003 seja “descartável” e trate-a como um dispositivo possivelmente hostil que você precisa tolerar na sua rede porque esse não será o último vírus para o qual o XP/2003 não terá proteção. E eu falo isso como fã do XP.
Se usa um SO ainda suportado pela Microsoft, instale o patch.
Se quiser ter uma camada extra de proteção, faça o que vem sendo recomendado desde 2016 pela própria MS: Desative o suporte a SMBv1. O efeito colateral disso é que máquinas rodando Windows XP e 2003 não poderão mais acessar compartilhamentos na sua máquina*. O mesmo possivelmente se aplica a media players como o Egreat e o DiYOMATE. Mas se você não precisa disso ou você nem compartilha nada na sua máquina mesmo, exclua o serviço.
Atualizar o antivírus pode ajudar muito. Como esse vírus está “famoso” todos os grandes antivírus já devem ter detecção. O antivírus pode não conseguir impedir a invasão via exploit (aplique o patch) mas pode impedir o usuário de instalar o vírus recebido por e-mail ou pendrive.
*Que eu saiba, EternalBlue/Doublepulsar exploram uma vulnerabilidade no serviço “SMB server” e não no “client” então você só precisa abdicar da possibilidade de ter compartilhamentos e não de acessá-los. Mas não posso garantir isso ainda.
Como verificar por linha de comando se você tem o patch instalado
Abra um prompt de comando (não precisa ser administrador) e execute:
No Windows 8.1
wmic qfe get hotfixid | find “KB4012213”
ou
wmic qfe get hotfixid | find “KB4012216”
No Windows 7
wmic qfe get hotfixid | find “KB4012212”
ou
wmic qfe get hotfixid | find “KB4012215”
Se o patch estiver instalado a resposta para pelo menos um comando (dois updates aplicam o mesmo patch) será o mesmo texto que está entre aspas. Se não houver resposta alguma o patch não está instalado.
Para outras versões do Windows consulte a tabela da MS e substitua o texto entre aspas pelo número da KB correspondente.
Você também pode tentar instalar o patch de qualquer maneira. Se já tiver sido aplicado o instalador avisa.
Se você copiar e colar os comandos e der erro no comando FIND, apague e redigite as aspas.
Estou na rua agora mas acabo de saber que a MS se deu conta da catástrofe em andamento e liberou um patch para as versões sem suporte do Windows.
Rapaz… é a primeira vez que eu vejo os servidores da MS não aguentarem a demanda. Está leeeento…
Link para o patch do XP SP3 PT-BR
http://download.windowsupdate.com/d/csa/csa/secu/2017/02/windowsxp-kb4012598-x86-custom-ptb_916cb3aa70ee0e49588196aae0df8f19bfd1c127.exe
Link para o patch do Windows Server 2003 x86
http://download.windowsupdate.com/c/csa/csa/secu/2017/02/windowsserver2003-kb4012598-x86-custom-ptb_22bd7c6319a6ffb1942b93c68af1ea0925a01229.exe
Viu isso Jefferson? http://www1.folha.uol.com.br/mundo/2017/05/1883823-como-descoberta-acidental-interrompeu-onda-de-ciberataques.shtml
E o que mais me espantou foi a Microsoft ter liberado um patch para o Windows XP!
Eu fiquei sabendo pelo slashdot horas antes.
A explicação da MS faz muito sentido. Dependendo de quem faz a pesquisa o número de máquinas rodando Windows XP é de “apenas” entre 7 e 11%, mas quasndo você pensa que o número total é estimado em um bilhão de dispositivos, isso corresponde a dezenas de milhões de máquinas.
É um número capaz de criar um ataque devastador ao resto do ecosistema da MS, nem que seja indiretamente, por paralisar a infraestrutura global em um ataque DDoS.
Wanacrypt é só o começo. Isso não vai parar.
A quantidade de bobagens que a imprensa tradicional cospe sobre esse ataque impressiona. A Globo, por exemplo, tem dinheiro suficiente para escolher pelo menos um repórter que saiba a diferença entre “arquivo” e “programa” para falar sobre o assunto. E/ou conhecer “especialistas” de verdade que não digam que fazer backup em pendrive é proteção contra ransonware.
Eu já começo a achar que a complexidade da tecnologia/internet, aliada à inteligência doas hackers já faz com que o cidadão “médio para baixo” nem poderia mais ter tanto acesso assim… falo daquele “arigó” (desculpem o termo) que só usa o computador para o facebook, whatsapp, sites sensacionalistas, de p******, etc… desculpem a sinceridade, mas é assim que penso… imagine uma explicação “coerente” no Jornal Nacional, ou na Band, SBT, Record… falo isso até pelos meus pais, pela minha mãe (que volta & meia tenho que pegar o celular android dela a limpar todo o lixo que ela baixa, reconfigurar whatsapp, facebook, etc. que ela inadvertidamente desarranja, etc.).. sem falar nas TONELADAS de porcaria que recebo de “amigos” pelo whatsapp e face: piadinhas, vídeos, sons, que eles acham divertido mas que EU não tenho NENHUM saco de ver, e se eu vou pedir educadamente para não enviar eles se ofendem… desculpem, mas as vezes eu acho que a tecnologia DEVIA ser mais “elitista”, mais “selecionada” sim (quanto ao seu “público-alvo”)… desculpem o desabafo…
Eu adotei uma solução simples para isso. Qualquer contato genérico que me faça perder tempo lendo bobagens (notar que eu tenho um círculo “intimo” com o qual fico feliz em trocar bobagens) vai para a lista de MUTE do whatsapp e os que me mandaram coisas que me incomodaram MESMO, como mensagens políticas (contrárias à minha opinião) e religiosas (qualquer uma) vão para a lista de bloqueio. Se me perguntarem por que demoro a responder (MUTE) ou nunca estou online (bloqueio) aí sim eu explico.
Mais essa agora!
http://www.tecmundo.com.br/torrent/116787-alerta-voce-precisa-desinstalar-utorrent-computador.htm
Ainda bem que eu uso uma versão jurássica e não atualizado por nada.
Vão em Configurações, Avançado, pesquisem por offers e coloque em falso esses dois:
offers.left_rail_offer_enabled” e “offers.sponsored_torrent_offer_enabled
Agora reiniciem o uTorrent
Eu ainda uso a versão 2.2. Não tem anúncios. E não é a primeira vez que usuários das versões mais novas tem problemas.
Por “descargo de consciência” mesmo com a dica que postei desinstalei e coloquei o qBittorrent. E não é que o bicho é muito bom?
Eu estacionei na versão 1.6 que também não tem anúncios, é ridícula de pequena e funciona perfeitamente.
Isso ajuda? https://www.baboo.com.br/seguranca/ferramenta-wanakiwi-ransomware-wannacrypt/
E isso? https://www.baboo.com.br/seguranca/eset-eternalblue-vulnerability-checker-wannacrypt/
Ajuda, mas eu realmente estou torcendo por uma ferramenta como o McAfee Conficker Detection Tool, que identifica a partir de uma máquina qualquer da rede todas as outras infectadas e até diz a versão do Conficker. Afinal a vulnerabilidade pode ser detectada “facilmente” de dentro da LAN. Existe a possibilidade de fazer isso facilmente com o zenmap/nmap mas ainda estou checando.
Já saiu algo bom o bastante