Os ataques massivos da última sexta-feira

mai
15
2017
Escrito por sti

Na última sexta-feira, 12 de maio, um ataque massivo de ransomware afetou diversas organizações na Europa e América Latina. Esse tipo de ataque afeta sistemas Windows cifrando diversos arquivos em discos rígidos, pendrives e unidades de rede podendo, assim, se propagar a outros equipamentos que estejam conectados na mesma rede.

Descrição:

O ransomware, conhecido pelas variantes de WannaCry ou HydraCrypt, infecta computadores utilizando o sistema operacional Microsoft Windows através de uma vulnerabilidade no serviço SMB, utilizado para o compartilhamento de arquivos via rede. Quando o usuário executa um arquivo malicioso enviado pelo atacante, normalmente um arquivo compactado do tipo RAR, inicia-se um processo de cifragem de arquivos no computador da vítima. Além disso, conforme dito anteriormente, o ransomware pode propagar-se através da rede local. Isto é, outras máquinas, que executem o mesmo sistema operacional, podem ser afetadas.

Quando o computador é afetado, os arquivos cifrados passam a ser identificados pela extensão ".wcry". Após este processo, é solicitada à vítima o pagamento de uma taxa para envio da chave que poderá decifrar os dados. Porém, de acordo com relatos conhecidos, o pagamento da taxa de resgate ao usuário malicioso não garante que o mesmo irá enviar a chave para decifrar os arquivos, o que torna importante realizar regularmente o backup dos arquivos para recuperação quando necessário.

Como a Universidade é afetada:

A STI detectou uma quantidade significativa de SPAM entrando em nossos servidores de email, originados de endereços comprometidos. Por distração ou falta de conhecimento, muitos de nossos usuários têm o hábito de abrir mensagens recebidas que jamais foram solicitadas, como por exemplo, recadastramento de senhas de banco ou dados pessoais. Esses falsos correios eletrônicos costumam conter textos que os convidam a baixar anexos comprometidos ou ainda clicar em links desconhecidos.

Para evitar maiores danos, interrompemos temporariamente, na última sexta-feira, o nosso serviço de correio eletrônico corporativo para avaliar a extensão do problema. Além do serviço de correio eletrônico, paramos também alguns serviços de compartilhamento de arquivos e os servidores Windows em nosso Datacenter, para que os mesmos não fossem comprometidos antes de passar por uma verificação e terem seus sistemas atualizados.

Recomendamos, também, a todos os administradores de redes e sistemas que verifiquem a integridade das cópias de segurança dos arquivos da sua responsabilidade, assim como suas rotinas de backup.
Estamos, aos poucos, retornando todos os acessos e pedimos a compreensão e a colaboração de todos durante esse processo.

Não abram mensagens e arquivos suspeitos, nem cliquem em links desconhecidos!

Sistemas impactados:

Windows Vista SP2
Windows Server 2008
Windows Server 2008 R2
Windows 7
Windows 8.1
Windows Server 2012
Windows Server 2012 R2
Windows 10
Windows Server 2016

É recomendada a aplicação URGENTE das correções disponíveis para os sistemas vulneráveis!

Correções disponíveis:

- Aplicar as correções de segurança recomendadas no link abaixo:
www.catalog.update.microsoft.com/

Ações recomendadas:

  • Aplicar as correções de segurança para o seu sistema operacional.
  • Atualizar as soluções de antimalware para suas últimas versões disponibilizadas pelos desenvolvedores.
  • Realizar cópias de segurança de arquivos e sistemas e aplicar medidas para assegurar sua integridade e funcionamento.

A STI recomenda que os administradores e usuários mantenham seus sistemas e aplicativos sempre atualizados, de acordo com as últimas versões e correções oferecidas pelos fabricantes.

A segurança é um dever de todos. Para garantir o bom funcionamento da nossa infraestrutura de dados, fiquem atentos às boas práticas!

Se você abriu algum arquivo suspeito, clicou em algum link desconhecido, desconfia que algo está errado em seu sistema, foi comprometido pelo ataque ou está com dúvidas e não sabe o que fazer, procure orientação com o responsável pelo seu setor/departamento, ou entre em contato com a STI através da nossa central de atendimento.

Mais informações:

1-  www.techtudo.com.br/noticias/noticia/2016/06/o-que-e-ransomware.html
2- www.rnp.br/sites/default/files/vulnerabilidade_servico_smbv1_da_microsoft.pdf
3- www.microsoft.com/security/portal/threat/encyclopedia/Entry.aspx?Name=Ransom:Win32/WannaCrypt
4- https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks
5- https://support.microsoft.com/en-us/help/2696547/how-to-enable-and-disable-smbv1,-smbv2,-and-smbv3
6- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-0147
7- https://technet.microsoft.com/en-us/library/security/ms17-010.aspx
8- www.virustotal.com/en/file/
9- https://intel.malwaretech.com/WannaCrypt.html
10- www.hybrid-analysis.com/sample/
11- www.theguardian.com/society/2017/may/12/hospitals-across-england-hit-by-large-scale-cyber-attack
12- https://cartilha.cert.br/

Para saber mais sobre este informativo

Estes são os dados de contato do setor da universidade que escreveu este informativo:

Setor responsável: 
Superintendência de Tecnologia da Informação
Email: 
atendimento@id.uff.br
Telefone: 
2629-2042
Tags (palavras-chave): 
Segurança da Informação
ransomware
Grande área: 
Tecnologia da Informação
  • 2601 leituras

Avalie esta página

CAPTCHA
This question is for testing whether or not you are a human visitor and to prevent automated spam submissions.
A atualização mais recente deste conteúdo foi em 15/05/2017 - 17:30

UFF 60 anos

Universidade Federal Fluminense

Reitoria da UFF
Rua Miguel de Frias, 9
Icaraí
Niterói - RJ
24220-900

CNPJ 28.523.215/0001-06

Telefone: 21 2629-5000

Setores na Reitoria

Dirigentes das Unidades de Ensino

Fale conosco | Ouvidoria

História da UFF - Linha do Tempo

Sobre este site

Este site utiliza o sistema Open Source Drupal e foi desenvolvido pela UFF.
Como este site funciona?  | Como publicar no site da UFFnovidade! | Acessibilidade no site da UFFDados abertos