Algumas recomendações baseadas nas ferramentas de segurança da Kaspersky Lab para minimizar os riscos de infecção pelo WannaCry.
Os engenheiros da Kaspersky Lab analisaram as informações sobre os casos de infecção com o malware que criptografa de arquivos, conhecido como WannaCry, o qual atacou várias empresas ao redor do mundo, no dia 12 de maio.
Para realização do ataque, a conhecida vulnerabilidade da rede Microsoft Security Bulletin MS17-010 foi explorada. Em seguida, o rootkit foi instalado nos computadores infectados, através dos quais o ransomware foi executado.
Todas as soluções da Kaspersky Lab detectam este rootkit como MEM: Trojan.Win64.EquationDrug.gen. O WannaCry, que foi usado durante este ataque, também é reconhecido pela Kaspersky sob os seguintes nomes:
- Trojan-Ransom.Win32.Scatter.uf
- Trojan-Ransom.Win32.Scatter.tr
- Trojan-Ransom.Win32.Fury.fr
- Trojan-Ransom.Win32.Gen.djd
- Trojan-Ransom.Win32.Wanna.b
- Trojan-Ransom.Win32.Wanna.c
- Trojan-Ransom.Win32.Wanna.d
- Trojan-Ransom.Win32.Wanna.f
- Trojan-Ransom.Win32.Zapchast.i
- Trojan.Win64.EquationDrug.gen
- PDM:Trojan.Win32.Generic (System Watcher – Inspetor do Sistema precisa estar acionado para que essa variante seja detectada)
- Intrusion.Win.DoublePulsar.a (Network Attack Blocker precisa estar acionado para que essa variante seja detecada)
A Kaspersky recomenda que as empresas realizem as seguintes ações para minimizar o risco de infecção:
- Instale o patch oficial da Microsoft, que corrige a vulnerabilidade explorada pelo WannaCry.
- Verifique se as soluções antivírus estão ativadas em todos os pontos da rede.
- Atualizar bases de dados de todas as soluções Kaspersky Lab utilizadas.
Atualmente, os especialistas da Kaspersky Lab estão analisando as amostras do WannaCry para encontrar opções de descriptografia.
Para obter informações detalhadas sobre os ataques do WannaCry, consulte o relatório do Kaspersky Lab aqui.
Em caso de infecção, o que fazer?
Se você estiver usando uma solução antivírus da Kaspersky Lab:
Kaspersky Endpoint Security 8/10:
-
- Desconecte o computador infectado da rede corporativa;
- Instale o patch da Microsoft:
– Para sistemas operacionais atualmente suportados
– Para sistemas operacionais que não são mais suportados - Verifique se o componente System Watcher (Inspetor do Sistema) e todos os seus módulos estão habilitados:
- Verifique se a Network Attack Protection (Proteção de Ataque de Rede) está ativada.
- Certifique-se de que o Antivírus de Arquivos está ativado.
- Execute a tarefa Critical Areas Scan para detectar a infecção o mais cedo possível.
- Após a detecção de MEM: Trojan.Win64.EquationDrug.gen, reinicie o computador.
- Execute uma verificação completa para excluir o malware.
- Conecte o computador à rede.
Kaspersky Security 10 para Windows Server:
- Desconecte o computador infectado da rede corporativa.
- Instale o patch da Microsoft:
– Para sistemas operacionais atualmente suportados
– Para sistemas operacionais que não são mais suportados - Verifique se o componente de proteção de arquivos em tempo real está ativado.
- Defina a aplicação de acordo com as recomendações deste artigo. Isso ajudará você a proteger o servidor de ser criptografado remotamente dos hosts que têm acesso a ele.
- Execute a tarefa Critical Areas Scan para detectar a infecção o mais cedo possível.
- Após a detecção de MEM: Trojan.Win64.EquationDrug.gen, reinicie o computador.
- Execute uma verificação completa para excluir o malware.
- Conecte o computador à rede.
Anti-Virus 8.0 para servidores Windows EE:
- Desconecte o computador infectado da rede corporativa.
- Instale o patch da Microsoft:
– Para sistemas operacionais atualmente suportados
– Para sistemas operacionais que não são mais suportados - Certifique-se de que o componente de proteção de arquivos em tempo real está ativado.
- Execute a tarefa Critical Areas Scan para detectar a infecção o mais cedo possível.
- Após a detecção de MEM: Trojan.Win64.EquationDrug.gen, reinicie o computador.
- Execute uma verificação completa para excluir o malware.
- Conecte o computador à rede.
Kaspersky Anti-Virus 6.0 R2 para estações de trabalho Windows:
- Desconecte o computador infectado da rede corporativa.
- Instale o patch da Microsoft:
– Para sistemas operacionais atualmente suportados
– Para sistemas operacionais que não são mais suportados - Certifique-se de que o Antivírus de Ficheiros está ativado.
- Verifique se o Anti-Hacker está ativado.
- Execute a tarefa de verificação completa para detectar a infecção o mais cedo possível.
- Após a detecção de MEM: Trojan.Win64.EquationDrug.gen, reinicie o computador.
- Execute uma verificação completa para excluir o malware.
- Conecte o computador à rede.
Se você usar uma solução antivírus de terceiros
Usar a Ferramenta de Remoção de Vírus da Kaspersky
Localmente:
- Desconecte o computador infectado da rede corporativa.
- Instale o patch da Microsoft:
– Para sistemas operacionais atualmente suportados
– Para sistemas operacionais que não são mais suportados - Execute uma verificação na Kaspersky Virus Removal Tool.
- Após a detecção de MEM: Trojan.Win64.EquationDrug.gen, reinicie o computador.
- Execute uma verificação completa para excluir o malware.
- Conecte o computador à rede.
Remotamente:
- Instale o patch da Microsoft:
– Para sistemas operacionais atualmente suportados
– Para sistemas operacionais que não são mais suportados - Mova o arquivo executável da Kaspersky Virus Removal Tool para uma pasta compartilhada.
- Execute a ferramenta em um computador remoto (através da linha de comando remota, uma diretiva de grupo ou um arquivo .bat no Kaspersky Security Center) usando o comando:
\\share\kvrt.exe -accepteula -silent -dontcryptsupportinfo -d \\share\logs\%COMPUTERNAME%
share – nome da pasta compartilhada.
Quando você executar este comando em um computador remoto, a verificação será realizada sem desinfectar o arquivo e o log de processo será criado em \\ share \ logs \
- Para desinfecção, adicione os parâmetros -adinsilent -processlevel 1 ao comando
\\share\kvrt.exe -accepteula -silent -adinsilent -processlevel 1 -dontcryptsupportinfo -d \\share\logs\%COMPUTERNAME%
- Após a detecção do MEM: Trojan.Win64.EquationDrug.gen, reinicie o computador.
Como usar o Kaspersky Rescue Disk
- Desconecte o computador infectado da rede corporativa.
- Instale o patch da Microsoft:
– Para sistemas operacionais atualmente suportados
– Para sistemas operacionais que não são mais suportados - Inicialize o computador a partir do instalador do Kaspersky Rescue Disk.
O Kaspersky Rescue Disk 10 é incompatível com RAID. Para obter mais informações, consulte os requisitos do sistema.
- Executar uma tarefa de verificação. Para obter o guia sobre como executar uma tarefa de verificação, consulte este artigo.
- Após a detecção de MEM: Trojan.Win64.EquationDrug.gen, reinicie o computador.
- Execute uma verificação completa para remover o malware.
- Conecte o computador à rede.