Detalhes e informações sobre a proteção contra variações do WannaCry

INFO4361
Last Updated July 05, 2017

Conteúdo

Atualização sobre a situação

Em 12 de maio de 2017, houve diversos relatórios públicos sobre um ataque pela Internet envolvendo uma variação do ransomware WannaCry (também conhecido como WCry). Usuários de diversos países no mundo todo são o alvo e já foram afetados por esses ataques.

A ameaça WannaCry criptografa arquivos de dados nos computadores infectados e solicita que os usuários paguem um resgate de US$ 300 em bitcoins pela descriptografia dos arquivos. A nota de resgate indica que o valor do pagamento dobrará após três dias. Caso o pagamento não seja efetuado após sete dias, os arquivos criptografados serão excluídos.

Análises indicam que o ataque se espalha por meio de uma execução remota de códigos do protocolo de bloqueios do servidor de mensagens (SMB, Server Message Block) no Microsoft Windows que foi anunciada e corrigida com um patch pela Microsoft em 14 de março de 2017. Os usuários que instalaram esse patch não estão vulneráveis. Uma exploração específica dessa vulnerabilidade, conhecida como "Eternal Blue", foi disponibilizada por meio de um despejo de várias ferramentas de ataque feito pelo grupo Shadow Brokers em 14 de abril de 2017. 

Os clientes da Symantec estão protegidos?

A Symantec já disponibilizava proteção contra essa vulnerabilidade por meio da tecnologia de proteção de rede Sistema de prevenção contra intrusões (IPS, Intrusion Prevention System) no Symantec Endpoint Protection (SEP) e nos produtos Norton antes dos ataques do WannaCry.

Que tipo de proteção a Symantec oferece a seus clientes do Endpoint?

Há duas maneiras básicas de proteger os clientes contra essa ameaça:

  1. Os clientes que instalaram a atualização de segurança do Windows MS17-010 não estão vulneráveis a essa ameaça.
    • O Symantec Endpoint Management pode ser usado para distribuir com eficiência esse e outros patches e atualizações de software aos computadores da empresa.
    • No IT Management Suite (ITMS), o patch MS17-010 não será exibido no gerenciamento de patches, pois esse número de patch foi substituído e incluído em rollups de março a maio de 2017. Além disso, este documento será atualizado conforme os patches forem atualizados.
  2. Os produtos Symantec e Norton oferecem vários tipos de proteção contra essa ameaça aos sistemas que não têm o patch instalado:
    • Todos os clientes do SEP 14, SEP 12, SEP SBE e SEP Cloud já têm uma proteção que impede que o WannaCry se espalhe por meio do SMB: a tecnologia de proteção de rede Sistema de prevenção contra intrusões (IPS).
    • Há proteção para bloquear a operação de todas as variações conhecidas do ransomware para os clientes do SEP 14, SEP 12, SEP SBE e SEP Cloud por meio das atualizações mais recentes de assinaturas disponíveis. Em 31 de março de 2017 já havíamos lançado assinaturas que bloqueiam pelo menos uma variação do WannaCry.
    • Os clientes do SEP 14, SEP Cloud e SEP SBE Hosted Edition ainda têm recursos adicionais de proteção avançada contra a operação da ameaça depois da instalação em um computador. Nossa tecnologia avançada de aprendizagem de máquina detectou proativamente muitas variações do WannaCry no momento em que foram lançadas. Além disso, o recurso Nuvem de inteligência sobre ameaças também oferece proteção imediata contra novas variações do WannaCry.

      Nota: o recurso Nuvem de inteligência sobre ameaças está ativado por padrão, e recomendamos que os clientes o mantenham ativado em seus ambientes.

Também recomendamos que os clientes mantenham ativadas a tecnologia Insight baseada em reputação do SEP e a tecnologia comportamental do SONAR. Essas duas tecnologias podem oferecer outros recursos de proteção proativa contra novas versões do WannaCry.

Os clientes do proxy da Symantec estão protegidos?

Por meio do compartilhamento em tempo real de inteligência da Symantec e Blue Coat, todas as amostras do WannaCry bloqueadas pelo SEP também serão automaticamente bloqueadas para os clientes Blue Coat que tiverem nosso sistema de análise de conteúdo (CAS, Content Analysis System).

Nota: esse recurso não está disponível no antecessor mais antigo do sistema de análise de conteúdo do ProxyAV, embora os mecanismos de verificação de malware do ProxyAV possam ser capazes de bloquear o WannaCry de maneira independente.

Conforme mais amostras são descobertas pela Symantec, a proteção adequada será adicionada automaticamente para os clientes de proxy do SEP e Blue Coat.

Os clientes de email da Symantec estão protegidos?

Todos os clientes de email da Symantec estão totalmente protegidos contra o WannaCry com o conjunto de assinaturas mais recente. As tecnologias Skeptic e Link Following, disponíveis no produto Email Security.cloud, oferecerão mais proteções proativas.

Como posso ficar protegido?

A Symantec recomenda fortemente que você faça o seguinte:

  • Ative a tecnologia Insight baseada em reputação do SEP e a tecnologia comportamental do SONAR.
  • Mantenha seus softwares (SEP, ProxySG, patches da Microsoft, etc) atualizados com as versões mais recentes para amenizar o risco de infecções futuras
    • Instale a atualização de segurança do Windows MS17-010.

Recursos

Detalhes técnicos

Obrigado pelo seu feedback. Conte se você tem comentários adicionais abaixo. (é necessário fazer o login)

    © 1995-2019 Symantec Corporation