As maiores equipes de segurança da informação do mundo estão investigando o WannaCrypt — malware que atingiu várias empresas e instituições na última sexta-feira (12). No entanto, a ameaça foi parada (mas não totalmente) por um desconhecido. Um jovem que atende por @malwaretechblog no Twitter pausou a infecção do ransomware e impediu que o ataque se espalhasse por mais países.

O britânico de 22 anos, que não quer ter o nome revelado, trabalha em uma empresa americana de inteligência contra ameaças. Ele teria desativado o WannaCrypt após descobrir um domínio (endereço de internet) associado à propagação do malware. Para seguir contaminando mais computadores, o vírus verificava se este site estava no ar ou não.

“Eu dei uma olhada rápida [nos ataques], consegui uma amostra do malware e percebi que ele estava conectando a um domínio específico não registrado. Então eu fui lá e registrei [o domínio]”, conta. Para isso, recebeu ajuda de um técnico da empresa de segurança Proofpoint.

O rapaz comprou o domínio por US$ 10,69 (equivalente a R$ 33). Segundo ele, a empresa na qual trabalha costuma comprar domínios envolvidos em ataques cibernéticos para fins de investigação. É comum que esses endereços indiquem o modo de funcionamento de um vírus.

De início, o jovem chegou a ser acusado de ter iniciado o ataque a servidores do mundo todo por conta de seu vínculo com o domínio gravado no malware. No entanto, depois, ele percebeu que se tratava do inverso: ao registrar e tomar posse do endereço, ele ativou um mecanismo de pausa no processo de propagação do WannaCrypt.

"A intenção era apenas monitorar a propagação e ver se poderíamos fazer algo sobre isso mais tarde. Mas, realmente, acabei impedindo [o ransomware] de se espalhar apenas registrando o domínio", afirmou.

Investigando mais a fundo, @malwaretechblog descobriu por que isso tudo aconteceu. O WannaCrypt tinha uma espécie de mecanismo de desligamento proposital vinculado a um domínio estranho. Se os criminosos que criaram a ameaça quisessem inutiliza-la a qualquer momento, bastaria registrar o endereço de forma anônima. Aparentemente, os hackers não contavam que alguém iria descobrir o nome do domínio escondido no código do WannaCrypt tão cedo.

Entretanto, caso os PCs estejam em rede interna, mas não conectados à Internet no momento da infecção, fazendo uso de proxy ou outra particularidade, é possível que o vírus siga se alastrando, já que não será possível acessar o domínio registrado. Versões sem a verificação online também podem circular, perpetuando o ciclo do ransomware.

Ransomware é um tipo de ameaça que sequestra os dados do computador, criptografa arquivos pessoais e pede resgate — normalmente em bitcoins, difíceis de serem rastreados. No caso do WannaCrypt, há também um componente extra que torna uma máquina infectada um ponto de distribuição do malware em uma rede.

Ao entrar em um computador de uma instituição com rede fechada, potencialmente todos os PCs Windows vulneráreis são atingidos. Segundo a Kaspersky Lab, foram registrados mais de 45 mil ataques em 74 países, incluindo o Brasil. Por sorte, a ação do jovem acabou impedindo que o problema atingisse mais computadores nos Estados Unidos.

Com a diminuição das infecções, empresas e o governo do país norte-americano tiveram tempo suficiente para atualizar as máquinas.

A Microsoft confirmou que o WannaCrypt tem origem em armas cibernéticas da NSA (Agência de Segurança Nacional, dos Estados Unidos), que teriam sido roubadas por hackers no início deste ano.

Ainda é preciso se preocupar. Afinal, o funcionamento do vírus foi desativado por algo implementado propositalmente pelos criadores. “Isso não acabou. Os hackers vão perceber como nós os paramos e vão mudar o código. Em seguida, vai começar tudo de novo”, alertou o jovem.

Por enquanto, a única medida de precaução contra o WannaCrypt é atualizar o Windows imediatamente. O malware explora uma falha corrigida pela Microsoft desde março, mas computadores desatualizados seguem expostos. Para resolver, basta ativar o Windows Update.