Ir para o Conteúdo 1 Ir para a Página Inicial 2 Ir para o menu de Navegação 3 Ir para a Busca 4 Ir para o Mapa do site 5
Abrir menu principal de navegação
CTIR Gov - Centro de Prevenção, Tratamento e Resposta a Incidentes Cibernéticos de Governo
Termos mais buscados
  • imposto de renda
  • inss
  • assinatura
  • cnh social
  • enem
Termos mais buscados
  • imposto de renda
  • inss
  • assinatura
  • Acesso à Informação
    • Institucional
      • Apresentação
      • Competências
      • Base Jurídica
      • Organograma
      • Histórico
      • Quem é quem
    • Ações e Programas
    • Auditorias
    • Consulta Pública
    • Convênios e Transferências
    • Dados Abertos
    • Informações Classificadas
    • Licitações e Contratos
    • Participação Social
    • Perguntas Frequentes
    • Portal Brasileiro de Dados Abertos
    • Receitas e Despesas
    • Servidores
    • Serviço de Informação ao Cidadão
  • Assuntos
    • Abrangência Operacional (Constituency)
    • Alertas e Recomendações
      • Alertas
      • Recomendações
    • Ascender Defesas
    • Base Normativa
      • Instrução Normativa GSI Nº 1, de 27 de maio de 2020
      • Norma Complementar nº 05/IN01/DSIC/GSIPR
      • Norma Complementar nº 08/IN01/DSIC/GSIPR
      • Norma Complementar nº 21/IN01/DSIC/GSIPR
      • Demais Normativos e Legislações
    • Comunicação de Incidentes de Rede
    • CTIR Gov Em Números
    • Eventos
      • Colóquios
      • Oficinas Técnicas
    • Notícias
      • 2025
      • 2024
      • 2023
      • 2022
      • 2021
      • Anos Anteriores
    • Perguntas Frequentes
      • Sobre o Decreto 10.748/2021
    • Portaria GSI/PR Nº 120, de 21 de dezembro de 2022
    • Rede Federal de Gestão de Incidentes Cibernéticos (ReGIC)
      • REGIC - Decreto Nº 10.748, de 16 de Julho de 2021
      • Órgãos integrantes
    • RFC 2350
      • RFC 2350 (Português BR)
      • RFC 2350 (English)
    • Serviços
    • TLP
  • Canais de Atendimento
    • Fale Conosco
    • Ouvidoria
    • Imprensa
    • Endereço
    • Comunicação de Incidentes de Rede
      • Comunicação de Incidentes de Rede
      • Network Incident Reporting
      • Comunicación de Incidentes en la Red
    • Orientações para Notificação de Incidentes Cibernéticos ao CTIR Gov
  • Centrais de Conteúdo
    • Imagens
      • Logotipo/Design do CTIR Gov
      • Regic
    • Vídeos
      • Palestras
    • Publicações
      • Boletim Informativo Mensal
      • Legislação (SIC)
    • Palestras em PDF
      • Coloquios
      • Fóruns
      • Oficinas
      • Webinários
    • Termo de Adesão do Decreto 10.748/2021 - REGIC
  • Composição
  • Sobre o CTIR Gov
    • Abrangência Operacional (Constituency)
    • Comunicação de Incidentes de Rede
    • CTIR Gov Em Números
    • Eventos
    • Rede Federal de Gestão de Incidentes Cibernéticos (ReGIC)
    • RFC 2350
    • Serviços
  • Guia sobre Ransomware
  • GOV.BR
    • Serviços
      • Buscar serviços por
        • Categorias
        • Órgãos
        • Estados
      • Serviços por público alvo
        • Cidadãos
        • Empresas
        • Órgãos e Entidades Públicas
        • Demais segmentos (ONGs, organizações sociais, etc)
        • Servidor Público
    • Temas em Destaque
      • Orçamento Nacional
      • Redes de Atendimento do Governo Federal
      • Proteção de Dados Pessoais
      • Serviços para Imigrantes
      • Política e Orçamento Educacionais
      • Educação Profissional e Tecnológica
      • Educação Profissional para Jovens e Adultos
      • Trabalho e Emprego
      • Serviços para Pessoas com Deficiência
      • Combate à Discriminação Racial
      • Política de Proteção Social
      • Política para Mulheres
      • Saúde Reprodutiva da Mulher
      • Cuidados na Primeira Infância
      • Habitação Popular
      • Controle de Poluição e Resíduos Sólidos
    • Notícias
      • Serviços para o cidadão
      • Saúde
      • Agricultura e Pecuária
      • Cidadania e Assistência Social
      • Ciência e Tecnologia
      • Comunicação
      • Cultura e Esporte
      • Economia e Gestão Pública
      • Educação e Pesquisa
      • Energia
      • Forças Armadas e Defesa Civil
      • Infraestrutura
      • Justiça e Segurança
      • Meio Ambiente
      • Trabalho e Previdência
      • Turismo
    • Galeria de Aplicativos
    • Acompanhe o Planalto
    • Navegação
      • Acessibilidade
      • Mapa do Site
      • Termo de Uso e Aviso de Privacidade
    • Consultar minhas solicitações
    • Órgãos do Governo
    • Por dentro do Gov.br
      • Dúvidas Frequentes em relação ao Portal gov.br
      • Dúvidas Frequentes da conta gov.br
      • Ajuda para Navegar o Portal
      • Conheça os elementos do Portal
      • Política de e-participação
      • Termos de Uso
      • Governo Digital
      • Guia de Edição de Serviços do Portal Gov.br
    • Canais do Executivo Federal
    • Dados do Governo Federal
      • Dados Abertos
      • Painel Estatístico de Pessoal
      • Painel de Compras do Governo Federal
      • Acesso à Informação
    • Empresas e Negócios
Links Úteis
  • Galeria de Aplicativos
  • Participe
  • Galeria de Aplicativos
  • Participe
Redes sociais
  • Twitter
  • YouTube
  • RSS
  • RSS
  • Linkedin
Você está aqui: Página Inicial Assuntos Alertas e Recomendações Alertas 2017 ALERTA 02/2017
Info

Notícias

ALERTA 02/2017

Alerta referente ao ataque do Ransomware WannaCry
Compartilhe por Facebook Compartilhe por Twitter Compartilhe por LinkedIn Compartilhe por WhatsApp link para Copiar para área de transferência
Publicado em 12/05/2017 00h00 Atualizado em 14/10/2021 14h42
Ataques de Ransomware Wanna Decryptor
Presidência da República
Gabinete de Segurança Institucional
Departamento de Segurança da Informação e Comunicações
Centro de Tratamento de Incidentes de Redes do Governo

Alerta nº 02/2017 – Ataques de Ransomware Wanna Decryptor

1. Descrição do Problema

Temos recebido dos órgãos e de nossos colaboradores, Alertas sobre ataques de Ransomware tendo  como alvo os domínios do governo brasileiro. Esta variação de Ransomware é conhecida por Wanna Decryptor, WannaCry, WCry, WanaCrypt ou WanaCrypt0r .

O atacante explora vulnerabilidades do Microsoft Server Message Block 1.0 (SMBv1), alertado no  Boletim MS17-010 da Microsoft, ou através do comprometimento do protocolo da área de trabalho  remota (Remote Desktop protocol – RDP), bloqueando o acesso aos arquivos e cobrando o “resgate” em bitcoins .

1.1 O que é um Ransomware?

Pode ser entendido como um código malicioso que infecta dispositivos computacionais com o  objetivo de sequestrar, capturar ou limitar o acesso aos dados ou informações de um sistema, geralmente  através da utilização de algoritimos de encriptação ( crypto-ransoware ), para fins de extorsão.

Para obtenção da chave de decriptação, geralmente é exigido o pagamento (ransom) através de  métodos online, tipo “ Bitcoins ” .

2. Métodos de Ataques

O Ransomware Wanna Decryptor explora a mais severa das vulnerabilidades informada através do  Bolentim MS17-010 da Microsoft, permitindo ao atacante a execução remota de código através de envio  de mensagens especialmente criadas para um servidor Microsoft Server Message Block 1.0 (SMBv1), ou  através do comprometimento do protocolo da área de trabalho remota (Remote Desktop protocol – RDP). O Atacante envia um loader contendo uma dll criptografada em algorítimo AES e chave de 128bits,  sendo indetectável até então, aos anti-virus. Durante a execução um arquivo copiado no disco pelo  malware se encarrega de descriptografar a dll enviada, que por sua vez, começa a criptografar os arquivos  alvos. O Ransomware Wanna Decryptor também tenta utilizar informações sobre compartilhamentos  ativos disponíveis na IPC$ (Inter Process Communication), para poder se propagar na rede através do  protocolo SMBv1 (Server Message Block 1.0), infectando todos os sistemas vulneráveis. Os arquivos  infectados passam a ter as seguintes extensões: .wnry, .wcry, .wncry e .wncrypt. Sendo necessária uma  chave de 128bits-AES para restaurar os arquivos alvos.

Análise do arquivo wannacry.exe ( https://www.hybrid

analysis.com/sample/ed01ebfbc9eb5bbea545af4d01bf5f1071661840480439c6e5babe8e080e41aa?enviro nmentId=100 )

3. Recomendações

∙ Manter os sistemas atualizados para a versão mais recente ou aplicar os patch conforme  orientação do fabricante.

∙ Isolar a máquina da rede, ao primeiro sinal de infecção por malware;

∙ Verificar o tráfego de máquinas internas para domínios não usuais ou suspeitos; ∙ Monitorar as conexões internas e não usuais entre máquinas da rede, a fim de evitar o movimento  lateral de propagação do malware;

∙ Garantir o backup atualizado dos arquivos locais e dos Armazenados em Servidores de Arquivos; ∙ Manter o antivírus, aplicação de “ Patchs ” de segurança e a “ blacklist” (filtro “antispam”) de e mail atualizados;

∙ Rever a política de privilégios administrativos nas máquinas clientes, a fim de restringir a  instalação /execução de binários e ou executáveis desconhecidos; e

∙ Por fim, realizar campanhas internas, alertando os usuários a não clicar em links ou baixar  arquivos de e-mail suspeitos ou não reconhecidos como de origem esperada.

4. Sugestões para Mitigação do Problema

∙ Isolar a rede infectada e aplicar o patch conforme Bolentim MS17-010 da Microsoft – Crítico; ∙ Bloquear as portas UDP 137, 138 e TCP 139, 445 até solucionar o problema; ∙ Alguns usuários identificaram arquivos @Please_Read_Me@.txt ou com a extensão .WNCY; ∙ A recuperação dos arquivos infectados é quase impossível, sem a chave de encriptação, devido ao

tipo de criptografia forte utilizada, portanto a política de Backup é a medida mais eficaz para evitar  a perda de dados; e

∙ Não é recomendável, em nenhuma hipótese, o pagamento de valores aos atacantes.

Referências :

∙ http://www.ctir.gov.br/arquivos/alertas/2016/ALERTA_2016_02_AtaquesRansomware.pdf

∙ https://www.ccn-cert.cni.es/seguridad-al-dia/comunicados-ccn-cert/4464-ataque-masivo-de ransomware-que-afecta-a-un-elevado-numero-de-organizaciones-espanolas.html ∙ https://www.us-cert.gov/ncas/alerts/TA16-091A

∙ https://www.us-cert.gov/ncas/alerts/TA17-132A#revisions

∙ https://technet.microsoft.com/en-us/library/security/ms17-010.aspx

Brasília-DF, 12 de maio de 2017.

Equipe do CTIR Gov

Arquivo PDF Original deste ALERTA 02/2017

Tags: #alerta
Compartilhe por Facebook Compartilhe por Twitter Compartilhe por LinkedIn Compartilhe por WhatsApp link para Copiar para área de transferência
  • Acesso à Informação
    • Institucional
      • Apresentação
      • Competências
      • Base Jurídica
      • Organograma
      • Histórico
      • Quem é quem
    • Ações e Programas
    • Auditorias
    • Consulta Pública
    • Convênios e Transferências
    • Dados Abertos
    • Informações Classificadas
    • Licitações e Contratos
    • Participação Social
    • Perguntas Frequentes
    • Portal Brasileiro de Dados Abertos
    • Receitas e Despesas
    • Servidores
    • Serviço de Informação ao Cidadão
  • Assuntos
    • Abrangência Operacional (Constituency)
    • Alertas e Recomendações
      • Alertas
      • Recomendações
    • Ascender Defesas
    • Base Normativa
      • Instrução Normativa GSI Nº 1, de 27 de maio de 2020
      • Norma Complementar nº 05/IN01/DSIC/GSIPR
      • Norma Complementar nº 08/IN01/DSIC/GSIPR
      • Norma Complementar nº 21/IN01/DSIC/GSIPR
      • Demais Normativos e Legislações
    • Comunicação de Incidentes de Rede
    • CTIR Gov Em Números
    • Eventos
      • Colóquios
      • Oficinas Técnicas
    • Notícias
      • 2025
      • 2024
      • 2023
      • 2022
      • 2021
      • Anos Anteriores
    • Perguntas Frequentes
      • Sobre o Decreto 10.748/2021
    • Portaria GSI/PR Nº 120, de 21 de dezembro de 2022
    • Rede Federal de Gestão de Incidentes Cibernéticos (ReGIC)
      • REGIC - Decreto Nº 10.748, de 16 de Julho de 2021
      • Órgãos integrantes
    • RFC 2350
      • RFC 2350 (Português BR)
      • RFC 2350 (English)
    • Serviços
    • TLP
  • Canais de Atendimento
    • Fale Conosco
    • Ouvidoria
    • Imprensa
    • Endereço
    • Comunicação de Incidentes de Rede
      • Comunicação de Incidentes de Rede
      • Network Incident Reporting
      • Comunicación de Incidentes en la Red
    • Orientações para Notificação de Incidentes Cibernéticos ao CTIR Gov
  • Centrais de Conteúdo
    • Imagens
      • Logotipo/Design do CTIR Gov
      • Regic
    • Vídeos
      • Palestras
    • Publicações
      • Boletim Informativo Mensal
      • Legislação (SIC)
    • Palestras em PDF
      • Coloquios
      • Fóruns
      • Oficinas
      • Webinários
    • Termo de Adesão do Decreto 10.748/2021 - REGIC
  • Composição
  • Sobre o CTIR Gov
    • Abrangência Operacional (Constituency)
    • Comunicação de Incidentes de Rede
    • CTIR Gov Em Números
    • Eventos
    • Rede Federal de Gestão de Incidentes Cibernéticos (ReGIC)
    • RFC 2350
    • Serviços
  • Guia sobre Ransomware
Redefinir Cookies
Redes sociais
  • Twitter
  • YouTube
  • RSS
  • RSS
  • Linkedin
Acesso àInformação
Todo o conteúdo deste site está publicado sob a licença Creative Commons Atribuição-SemDerivações 3.0 Não Adaptada.
Voltar ao topo da página
Fale Agora Refazer a busca