O documento discute o ataque cibernético WannaCry, incluindo como ele se espalhou rapidamente pelo mundo usando ferramentas roubadas da NSA e explorando uma vulnerabilidade no Windows. Detalha como funciona o ransomware, suas extensões comuns e vetores de ataque, além de medidas de prevenção e o "kill switch" que ajudou a conter o surto.

1. WANNACRYRicardo Cavalcante
Residência em Segurança da Informação

2. Ligando os pontos

3. Eu sou Ricardo Cavalcante
Membro bolsista do Projeto de Extensão
Residência em Segurança da Informação Rsi
Olá!

4. A repercuçãoGanhando o mundo em apenas algumas horas

5. Jornal nacional
Vídeo

8. O que sabemos?

9. Shadow Brokers

10. Shadow Brokers

11. As Ferramentas da
NSA

12. Ferramentas
◉ Eternal Blue
● Disseminação
● SMBv1 Exploit
◉ DoublePulsar
● Acesso remoto
● Kernel mode

13. IPC$
◉ Conexão de sessão nula
● Processo interno de comunicação que usa o RPC
(Remote Procedure Call) para realizar o
compartilhamento dos arquivos e processos.
● Conexão permanente

14. SMB Protocol
◉ Modelo osi
● Protocolo de rede da camada de aplicação
◉ Principal aplicação
● fornecer acesso compartilhado a arquivos,
impressoras e portas seriais e comunicações
diversas

15. MS17-010-
◉ Execução remota de códigos
◉ Acesso administrador
◉ Disseminação na rede

18. ◉ port:445 country:br "IPC$"
● Porta 445 (usada pelo SMB)
● Brasil
● 47.582 máquinas ativas

19. VetorSe aproveitando da falha humana

20. “
De acordo com o Gabinete de
Segurança Institucional (GSI) da
presidência, as invasões
ocorreram em grande quantidade
no país por
meio de e-mails com arquivos
infectados.

21. ● Commonly used office file extensions (.ppt, .doc, .docx, .xlsx, .sxi).
● Less common and nation-specific office formats (.sxw, .odt, .hwp).
● Archives, media files (.zip, .rar, .tar, .bz2, .mp4, .mkv)
● Emails and email databases (.eml, .msg, .ost, .pst, .edb).
● Database files (.sql, .accdb, .mdb, .dbf, .odb, .myd).
● Developers’ source code and project files (.php, .java, .cpp, .pas, .asm).
● Encryption keys and certificates (.key, .pfx, .pem, .p12, .csr, .gpg, .aes).
● Graphic designers, artists and photographers files (.vsd, .odg, .raw, .nef, .svg, .psd).
● Virtual machine files (.vmx, .vmdk, .vdi).
Extensões que o W.C pode assumir

22. Funcionamento

23. Funcionamento

24. Executa DisseminaEncrypta

25. Vídeo

26. DeclínioAo acaso

27. Salvando o mundo com $10.69 (£8.30)
Compra de domínio

28. Kill Switch
◉ Marcus Hutchins : MalwareTech
◉ Domínio
○ Iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com
◉ Registrado como:
○ NameCheap.com
○ Servidor em Los Angeles

29. FIM?

31. Solução

32. ◉ Atualizar o sistema operacional
● Aplique os patches de correções MS17-010-
◉ Análise de processos detectando e barrando os padrões
suspeitos
◉ Desativar SMB v1
● (powershell , registro ou nas configurações do sistema)
◉ Cuidado com phishing
● Conscientização dos usuários
Prevenções

33. ◉ Servidor como estação de trabalho
◉ Realize backup dos dados de grande importância
● Desenvolva uma política de backup
◉ Portas 139 (NETBIOS), 445 (SMB) e 3389 (RDP)
Prevenções

34. Place your screenshot here
Em caso de infecção
◉ Não efetue o pagamento
◉ Isole a máquina da rede
interna
◉ Na ausência de backup
espere uma solução