O documento discute o ataque cibernético WannaCry, incluindo como ele se espalhou rapidamente pelo mundo usando ferramentas roubadas da NSA e explorando uma vulnerabilidade no Windows. Detalha como funciona o ransomware, suas extensões comuns e vetores de ataque, além de medidas de prevenção e o "kill switch" que ajudou a conter o surto.
13. IPC$
◉ Conexão de sessão nula
● Processo interno de comunicação que usa o RPC
(Remote Procedure Call) para realizar o
compartilhamento dos arquivos e processos.
● Conexão permanente
14. SMB Protocol
◉ Modelo osi
● Protocolo de rede da camada de aplicação
◉ Principal aplicação
● fornecer acesso compartilhado a arquivos,
impressoras e portas seriais e comunicações
diversas
20. “
De acordo com o Gabinete de
Segurança Institucional (GSI) da
presidência, as invasões
ocorreram em grande quantidade
no país por
meio de e-mails com arquivos
infectados.
21. ● Commonly used office file extensions (.ppt, .doc, .docx, .xlsx, .sxi).
● Less common and nation-specific office formats (.sxw, .odt, .hwp).
● Archives, media files (.zip, .rar, .tar, .bz2, .mp4, .mkv)
● Emails and email databases (.eml, .msg, .ost, .pst, .edb).
● Database files (.sql, .accdb, .mdb, .dbf, .odb, .myd).
● Developers’ source code and project files (.php, .java, .cpp, .pas, .asm).
● Encryption keys and certificates (.key, .pfx, .pem, .p12, .csr, .gpg, .aes).
● Graphic designers, artists and photographers files (.vsd, .odg, .raw, .nef, .svg, .psd).
● Virtual machine files (.vmx, .vmdk, .vdi).
Extensões que o W.C pode assumir
32. ◉ Atualizar o sistema operacional
● Aplique os patches de correções MS17-010-
◉ Análise de processos detectando e barrando os padrões
suspeitos
◉ Desativar SMB v1
● (powershell , registro ou nas configurações do sistema)
◉ Cuidado com phishing
● Conscientização dos usuários
Prevenções
33. ◉ Servidor como estação de trabalho
◉ Realize backup dos dados de grande importância
● Desenvolva uma política de backup
◉ Portas 139 (NETBIOS), 445 (SMB) e 3389 (RDP)
Prevenções
34. Place your screenshot here
Em caso de infecção
◉ Não efetue o pagamento
◉ Isole a máquina da rede
interna
◉ Na ausência de backup
espere uma solução