O documento discute ransomware, especificamente o ataque WannaCry de maio de 2017. O documento fornece detalhes sobre como o WannaCry se espalhou, como funciona, e quais falhas permitiram que fosse contido. Também discute casos de ransomware e recomendações para prevenção e resposta a incidentes.

1. RANSOMWARE
Flávio K. Shiga

2. 2
• Sócio iBLISS Digital Security – Lisboa
• Especialista EXIN (Cyber Security)
• Professor +5 anos
• Consultor TI/SI +12 anos
• Certificações: BCMF, ISO/IEC 27001 LA, ISFS, ITIL, Cobit, MCSO e Cisco
• Pesquisas de vulnerabilidades/fraudes (Aplicações WEB)
• Principais conferências
– Brasil: Roadsec, BHACK, H2HC, Mind the Sec e Cyber Security Meeting
– Portugal: 5th Infosec Week & Cyber Bootcamp e Confraria SI
– Uruguay: OWASP LATAM Tour
– Angola: 3ª CNSI (Conferência Nacional de Segurança Informática)
–Canada: L'ASIQ - Association de la sécurité de l'information du Québec

3. • WANNCRY
• POR QUÊ RANSOMWARE?
• FORMAS DE INFECÇÃO
• FUNCIONAMENTO
• WANNACRY - FALHAS
• CASES
• RECOMENDAÇÕES
AGENDA
3

4. 12 de Maio de 2017
4

5. +200.000
Sistemas
+ 150
Países

6. Windows Vista
Windows Server 2008
Windows 7
Windows Server 2008 R2
Windows 8.1
Windows Server 2012
Windows Server 2012 R2
Windows RT 8.1
Windows 10
Windows Server 2016
Server Core installation opt.
WANNACRY
MS017-10 – 14 de Março

7. WANNACRY
Shadowbrokers – 15 de Abril

8. POR QUÊ RANSOMWARE?

9. https://blog.barkly.com/ransomware-statistics-

10. POR QUÊ?
https://blog.barkly.com/ransomware-statistics-

12. 07/06/2017 12
WANNACRY
Carteiras monitoradas

14. FORMAS DE INFECÇÃO

17. nmap -p445 --script smb-vuln-ms17-010 <target>
Host script results:
| smb-vuln-ms17-010:
| VULNERABLE:
| Remote Code Execution vulnerability in Microsoft SMBv1 servers (ms17-010)
| State: VULNERABLE
| IDs: CVE:CVE-2017-0143
| Risk factor: HIGH
| A critical remote code execution vulnerability exists in Microsoft SMBv1
| servers (ms17-010).
|
| Disclosure date: 2017-03-14
| References:
| https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-0143
| https://technet.microsoft.com/en-us/library/security/ms17-010.aspx
|_ https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/
WANNACRY
NMAP

18. WANNACRY
METASPLOIT

19. WANNACRY
METASPLOIT
Exploit

21. EXPLOIT KITS

24. FUNCIONAMENTO

25. WANNACRY
Funcionamento
C&C
gx7ekbenv2riucmf.onion
57g7spgrzlojinas.onion
xxlvbrloxvriy2c5.onion
76jdd2ir2embyv47.onion
cwwnhwhlz52maqm7.onion
sqjolphimrr7jqw6.onion
RSA-2048 (keypair)
AES-128-CBC (file)

27. WANNACRY
Funcionamento
The filetypes it looks for to encrypt are
.doc, .docx, .xls, .xlsx, .ppt, .pptx, .pst, .ost, .msg, .eml, .vsd, .vsdx, .txt, .csv, .rtf, .123, .wks, .wk1, .pdf,
.dwg, .onetoc2, .snt, .jpeg, .jpg, .docb, .docm, .dot, .dotm, .dotx, .xlsm, .xlsb, .xlw, .xlt, .xlm, .xlc, .xltx, .xltm,
.pptm, .pot, .pps, .ppsm, .ppsx, .ppam, .potx, .potm, .edb, .hwp, .602, .sxi, .sti, .sldx, .sldm, .sldm, .vdi,
.vmdk, .vmx, .gpg, .aes, .ARC, .PAQ, .bz2, .tbk, .bak, .tar, .tgz, .gz, .7z, .rar, .zip, .backup, .iso, .vcd, .bmp,
.png, .gif, .raw, .cgm, .tif, .tiff, .nef, .psd, .ai, .svg, .djvu, .m4u, .m3u, .mid, .wma, .flv, .3g2, .mkv, .3gp, .mp4,
.mov, .avi, .asf, .mpeg, .vob, .mpg, .wmv, .fla, .swf, .wav, .mp3, .sh, .class, .jar, .java, .rb, .asp, .php, .jsp,
.brd, .sch, .dch, .dip, .pl, .vb, .vbs, .ps1, .bat, .cmd, .js, .asm, .h, .pas, .cpp, .c, .cs, .suo, .sln, .ldf, .mdf, .ibd,
.myi, .myd, .frm, .odb, .dbf, .db, .mdb, .accdb, .sql, .sqlitedb, .sqlite3, .asc, .lay6, .lay, .mml, .sxm, .otg, .odg,
.uop, .std, .sxd, .otp, .odp, .wb2, .slk, .dif, .stc, .sxc, .ots, .ods, .3dm, .max, .3ds, .uot, .stw, .sxw, .ott, .odt,
.pem, .p12, .csr, .crt, .key, .pfx, .der

30. WANNACRY
FALHAS

31. 31
1. Kill-switch: www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com
SHA256: 24d004a104d4d54034dbcffc2a4b19a11f39008a575aa614ea04703480b1022c
2. 3 Hardcoded bitcoin
3. Blockchain: Law enforcement to track any attempt to anonymously cash out
4. Botão “Check payment” não funciona
5. É possível alterar a carteira de bitocin!
WANNACRY
Falhas
Solução:
• Um endereço de bitcoin por vítima
Outros ransomwares:
Possibilitar descriptografar uma amostra de arquivo

32. CASES

33. 33
CASE 1
Total de e-mails enviados: 3038
E-mails abertos: 1782
Quantidade de cliques no link: 301

34. 34
CASE 2
Locky Osiris
3.5 bitcoins = $845,00
RSA-2048 e AES-128

35. 35
CASE 3
Nemesis

36. 36
CASE 3
Nemesis RSA e AES
Bitcoin?
$350,00

37. 37
CASE 4
WannaCry
RSA-2048 (keypair)
AES-128-CBC (file)

38. RECOMENDAÇÕES

39. 07/06/2017 39
• Perimeter Protections
• Network Defense
• Endpoint Protections
• NAS Server
• SIEM and Log Management
• Backup and Recover
• Awareness Training
• Vulnerability Management
• Incident Response
RECOMENDAÇÕES
OWASP - Anti-Ransomware
https://www.owasp.org/index.php/OWASP_Anti-Ransomware_Guide_Project

41. Se você conhece o inimigo e conhece a si
mesmo, não precisa temer o resultado de
cem batalhas. Se você se conhece, mas
não conhece o inimigo, para cada vitória
ganha sofrerá também uma derrota.
Se você não conhece nem o inimigo nem a
si mesmo, perderá todas as batalhas.
(Sun Tzu)

42. Vulnerability Management

43. EXCEL

44. 07/06/2017 44
• Perimeter Protections
• Network Defense
• Endpoint Protections
• NAS Server
• SIEM and Log Management
• Backup and Recover
• Awareness Training
• Vulnerability Management
• Incident Response
RECOMENDAÇÕES
OWASP - Anti-Ransomware
https://www.owasp.org/index.php/OWASP_Anti-Ransomware_Guide_Project

45. Flávio K. Shiga
Muito Obrigado!
www.linkedin.com/in/fshiga
Flavio.shiga@ibliss.com.br
www.ibliss.com.br