O ataque registrado na última terça-feira, 27, que bloqueou computadores de diversas empresas e órgãos do mundo todo, conseguiu que algumas vítimas pagassem o resgate, mesmo mediante a orientação de empresas de segurança que não façam isso, já que não há garantia de que haverá o desbloqueio. A empresa de segurança Trend Micro monitorou o ransomware e descobriu que 25 pessoas efetuaram o pagamento de US$ 300, movimentando US$ 7,5 mil.

É imporante lembrar que não é mais possível desbloquear um PC, mesmo mediante pagamento, já que os criminosos endereçaram apenas uma conta bitcoin para os depósitos, registada, como se pode imaginar, com uma só conta de e-mail. Com isso, a empresa responsável pelo serviço de mensagens escolhido pelos hackers bloqueou a conta. Assim, não se pode mais contatar os hackers e, portanto, desbloquear o dispositivo.

Como funciona?

O ransomware se instala no PC usando a ferramenta PsExec, aplicativo da Microsoft, ou o exploit EternalBlue. Depois disso, ele executa um arquivo chamado “perfc.dat”, localizado na pasta do Windows. Depois de uma hora, o dispositivo é reiniciado, criptografia é executada e o usuário recebe a notificação de que seus arquivos foram “sequestrado”. O resgate pedido é de US$ 300, em bitcoins.

Como se proteger?

A empresa de segurança sugere que os usuários apliquem a correção de segurança MS17-010, desativem a entrada TCP 445 e restrinjam as contas que possuem acesso como administrador.