Jefferson, 
25 de abril de 2017, 
O patch para isso saiu no dia 12 de março mas só fiquei sabendo do problema agora. Em mais um release de informação vazada da NSA, foi encontrado um programa chamado DoublePulsar que explora uma vulnerabilidade crítica existente em todas as versões do Windows e permite tomar remotamente o controle da máquina vulnerável. Script kiddies já estão rodando scanners pela internet procurando máquinas expostas e milhares já estão infectadas. Vale lembrar que esse tipo de vulnerabilidade não requer que as máquinas estejam “visíveis” pela internet pelo exploit para que toda a sua rede acabe infectada. A infecção inicial pode vir por diversos caminhos. Um único usuário pode se infectar por email ou pendrive e a partir da máquina dele o vírus infectar toda a rede. Caramba… alguém pode plugar inocentemente uma máquina infectada na sua rede (um consultor, vendedor, cliente, etc) e a partir daí sua segurança já era.
E se você já precisou se livrar do Conficker sabe o trabalho que dá mesmo quando na maioria das vezes o vírus só se importa em se espalhar, sem ser “ativado” para causar outro dano. Quando alguém decidir juntar o DoublePulsar com um ransonware…
Apliquem o patch referente à sua versão do Windows já!
Estou especialmente preocupado com três clientes que ainda usam Windows Server 2003. Para versões do Windows não mais suportadas a Microsoft não publicou patch. Existe um “workaround” que consiste em desabilitar SMBV1/CIFS, mas ainda não sei exatamente o que isso vai acarretar. Será que os compartilhamentos param de funcionar?
Sim, param de funcionar. No XP e Windows 2003 só existe SMBv1. SMBv2 foi introduzido no Vista e SMBv3 no Windows 8.
O único jeito parece ser fazer o upgrade desses servidores. Raios…
Pior ainda se sequestrarem os dados…
https://threatpost.com/original-xpan-ransomware-returns-targets-brazilian-smbs/125173/
Ha cerca de 4 anos peguei uma batata dessas que o suposto TI de lá deixou e não consegui resolver. A empresa simplesmente voltou para o ultimo backup valido (pasmem de quase um ano). Bem. Como dou suporte a outras empresas eu fechei os RDP e só acessa TS via VPN com um Brazilfw na primeira camada. Simples assim. Usamos o 2003 server e não migrei para o 2008 server, por conta de N fatores. Recomento fortemente o uso de VPN para acesso remoto. Abs Jefferson.
Criminosos já estão usando essa vulnerabilidade para efetuar ataques automáticos de ransomware. Um belo dia descobri que um servidor 2008 R2 meu que estava exposto (não configurei o firewall direito) foi atacado por um “AES-NI Ransomware”, sorte que não tinha nada de importante nele.