O pesadelo do WannaCry parece estar se repetindo. Na terça-feira, 28, um novo vírus conhecido como Petwrap começou a infectar máquinas de grandes empresas, incluindo bancos estatais, ao menos um hospital brasileiro e multinacionais como a empresa farmacêutica Merck. Assim como o WannaCry, ele criptografa os dados da máquina afetada e só os descriptografa mediante o pagamento de um resgate, e ele já rendeu cerca de R$ 20 mil aos atacantes.
De acordo com Wolmer Godoi, o diretor de cibersegurança da Cipher, a semelhança entre os dois ataques não pára por aí. O Petwrap explora a mesma vulnerabilidade de SMBv1 que o WannaCry explorava para infectar novas máquinas. Essa vulnerabilidade, chamada também de “EternalBlue”, já era conhecida pelo exército dos EUA, que não informou a Microsoft sobre ela. A empresa só ficou sabendo quando um grupo de hackers invadiu o exército e depois vazou as vulnerabilidades.
O SMBv1
O SMBv1, segundo Godoi, é a primeira versão do SMB, o protocolo de compartilhamento de arquivos entre computadores com Windows. “Com o tempo, a Microsoft evoluiu esse protocolo”, diz Godoi, “mas as versões anteriores continuam habilitadas em computadores mais novos”. O motivo disso é compatibilidade: se um computador novo precisa compartilhar arquivos em rede com uma máquina mais antiga, ele precisa desse protocolo para conseguir fazer o envio.
Acontece que esse protocolo antigo tinha uma falha – e como ele ainda estava habilitado mesmo em máquinas novas, até mesmo computadores com Windows 10 estavam vulneráveis a essa falha. Foi ela que permitiu que o WannaCry se disseminasse tão rapidamente no mês passado, porque além de criptografar o computador afetado, o malware também se espalha para outras máquinas conectadas.
Desde então, a Microsoft liberou uma atualização para os PCs que corrigia essa falha e imunizava-os contra ataques desse tipo. Mesmo assim, muitos computadores continuaram vulneráveis, por alguns motivos. Alguns usuários e empresas não instalaram a atualização, ou por não saber da importância de fazê-lo, ou por medo de perder algo de privacidade com a atualização. Outro fator é que muitos computadores ainda usam versões piratas do Windows, que não recebem atualização.
Infecção
Quando uma máquina é infectada pelo Petwrap, segundo Godoi, ela recebe apenas um arquivo executável bem pequeno. Por seu tamanho reduzido, ele passa despercebido pela maioria dos programas de antivírus e consegue se instalar na máquina afetada. Feito isso, ele se conecta a servidores externos para baixar deles outros arquivos e módulos que permitem que ele cause todo o estrago que ele causa.
No caso do Petwrap, os arquivos baixados alteram o “master boot record” (MBR) da máquina infectada. Essa parte é responsável pela inicialização do computador, e a mudança faz com que o computador não seja inicializado. Além disso, todo o conteúdo dos discos da máquina infectada são criptografados, e se tornam completamente inacessíveis até que sejam descriptografados. Trata,se sefundo Godoi, de um esquema “simples e genial”.
Segundo Cleber Brandão, o gerente do laboratório de inteligência da BlockBit, esse aspecto diferencia o Petwrap do WannaCry. “O WannaCry ainda deixava você acessar seu computador para realizar o pagamento em bitcoin, por exemplo. Mas com o Petwrap, você não abre nem o Windows”, comenta.
Diagnóstico
Para descobrir esses aspectos do funcionamento do malware, as empresas de segurança simulam o ataque, como se estivessem se deixando infectar. A diferença é que elas fazem isso em uma máquina virtual (uma espécie de computador rodando dentro de um computador) completamente monitorada. Cada ação que acontece nessa máquina virtual é monitorada e registrada pela máquina na qual ela está hospedada.
Assim, os pesquisadores de segurança conseguem, após a simulação, perceber exatamente o que aquele arquivo malicioso fez na máquina “cobaia”: quais linhas de código ele mudou, a quais servidores ele se conectou, quais arquivos ele baixou deles, etc. Foi por meio disso que o Petwrap pode ser identificado como uma variação do ransomware Petya.
A empresa de segurança digital Avast chama atenção para o potencial do mercado de sequestros de PCs no mundo. Segundo a empresa, a prática é feita em efeito cascata e permite que os distribuidores do vírus fiquem com até 85% do total obtido com os pagamentos para a liberação das máquinas, enquanto o restante (15%) permanece nas mãos dos criadores do ransomware.
Prevenção
Como fazer, então, para se prevenir contra ataques desse tipo? As dicas, segundo Godoi, são as de sempre: manter seu sistema operacional sempre atualizado, usar uma solução de antivírus (de preferência paga, e sempre atualizada), e tomar cuidado com os links e arquivos nos quais você clica. Também é essencial, para Godoi, ter backups – muitos deles. “O ideal é você ter três ou quatro backups diferentes, sempre atualizados”.
Brandão, por sua vez, recomenda que ao menos um desses backups esteja offline. “De repente, quando você é vítima de um ataque desses, até mesmo a unidade de rede onde o seu backup está acaba sendo afetada”. Ele considera que os backups “são como seguro de carro, que você tem para não precisar usar”, e que é bom ter pelo menos um deles na nuvem e um local.
Outra dica importante, de acordo com Brandão, é criar redes locais para as empresas. Por exemplo: os departamentos de RH e de Finanças de uma empresa grande devem ter redes diferentes. “Se não, imagina que o departamento de RH recebe um monte de CVs e um deles está infectado. Isso pode acabar afetando o departamento de Finanças da empresa, que não tem nada a ver”, comenta.
Quanto à atualização do Windows, Brandão ressalta que é importante fazê-la apenas pelo site oficial da Microsoft. “Quando um ataque desses acontece, muita gente aproveita para fazer ataques de phishing também”, diz. Ou seja: outros atacantes enviam e-mails fingindo que são a Microsoft com links que supostamente contêm a atualização do Windows 10, mas que na verdade apenas infectam a máquina com outros arquivos maliciosos.
O que fazer se eu for infectado?
Se a sua máquina for vitimada pelo Petwrap, Brandão e Godoi concordam sobre a coisa mais importante a se fazer: não pagar o resgate. Fazer isso, de acordo com os especialistas, acaba comprovando a rentabilidade de ataques desse tipo, e incentivando pessoas mal-intencionadas a criar novos ataques para ganhar dinheiro.
O ideal é ter um backup para casos como esse. Se o usuário tiver uma cópia de todos os arquivos contidos em seu computador, pode simplesmente formatar a máquina e copiar os arquivos novamente. Mas e se você não tiver o backup?
Nesse caso, uma atitude possível é esperar. Como Brandão ressalta, empresas de segurança costumam liberar ferramentas de descriptografia dos ransomwares alguns dias ou semanas após sua disseminação. Se você não tiver como restaurar um backup dos seus arquivos e não quiser formatar seu computador, esperar é a única opção que resta.