NoWannaCry

DIGA NÃO AO RANSOMWARE

Depois de tanto barulho, fui tentar entender o motivo do problema causado pelo WannaCry. Resumidamente, computadores sem atualização (Patch) e com o protocolo SMBv1 habilitado pode sofre atalques remotos devido algumas explorações de vulnerabilidade. Como consequencia infetados pelo ransomware “WannaCry”. Então se desabilitarmos o SMBv1 resolve o problema (até que descubram outro método).

Os motivos são diversos, para alguns usuário pode desejar efetuar a atualização. Então ao invés de ficar me gabando e mencionando que não pego vírus e por usar Linux, resolvi tirar a POEIRA da minha maquina virtual XP e escrevi um software que desabilita o antigo e agora famoso SMBv1. O utilitario NoWannaCry desativa o protocolo SMBv1 sem a necessidade de entrar nas configurações do Windows (pois altera o registro do Windows).

O pacote NoWAnnaCry foi escrito para ajudar os usuarios Windows a se protegerem um pouco das ameaças sem fim. É composto do do programa que altera o registro do Windows e um scritp em .BAT. Este script utiliza o nmap 7.40 e o script smb-vuln-ms17-010 para detectar a vulnerabilidade em um determinado ip.

Como funciona?

Primeiramente, baixe os Binários no link abaixo:

https://sourceforge.net/projects/owasp-zap-live-cd/files/nowannacry/nowannacry.zip/download

PS: Se preferir o Código fonte, acesso o link do projeto: https://github.com/cabelo/nowannacry

Após o download, descompacte o arquivo nowannacry.zip,  abra o terminal do Windows (Command.com) em modo administrador eentre na pasta recém criada.

pg01

Caso desconheça o seu ip, com o terminal aberto, digite ipconfig para obter o ip da sua maquina.

pg00

Agora execute o comando:

C:\nowannacry> testMS17-010.bat [SEU-IP]

Após a execução, se sua máquina estiver vunerável, será exibida a seguinte frase :

“A critical remote code execution vulnerability exists in Microsoft SMBv1”

pg02

Agora para desabilitar o SMBv1 que permite a ação do ransoware Wanna Cry, execute o comando nowannacry.exe:

C:\nowannacry> nowannacry.exe

pg04

Apos a execução, do nowannacry.exe, ao repetir o teste executando o scritpt testMS17-010.bat, veremos que a mensagem não será mais exibida.

Mais informação sobre o projeto, código fonte e outros AQUI: https://github.com/cabelo/nowannacry