A propagação de uma nova versão do software malicioso WannaCry, que desde sexta-feira atinge grandes empresas e instituições de todo o mundo, começa a ser travada depois de ter sido encontrada e activada uma espécie de interruptor que requeria apenas o registo de um domínio web pela quantia de dez euros.

De acordo com o Daily Beast, um investigador inglês da área da cibersegurança de 22 anos, cuja única identidade publicamente conhecida é a conta de Twitter @malwaretechblog e o blogue do mesmo nome, detectou que o ransomware (um software malicioso que sequestra os ficheiros de um computador, exigindo dinheiro pelo desbloqueio) estabelecia ligações para endereços web com um nome longo e insólito com a terminação "gwea.com", um domínio que não estava registado e, na prática, era inexistente. Se o programa obtivesse resposta desse domínio, esse seria o sinal para se desligar. Mas o “herói acidental” não percebeu isso de imediato.

“Vi que não estava registado e pensei, ‘acho que vou registar’”, disse @malwaretechblog ao Daily Beast. De imediato, o servidor para onde o domínio passou a estar apontado começou a receber “cinco ou seis mil ligações por segundo”. Na origem estavam dezenas de milhares de computadores infectados em todo o mundo.

Inicialmente, o investigador utilizou esse conjunto de dados apenas para mapear a propagação do poderoso ransomware – uma nova versão de um software conhecido como Wanna Decryptor, Wcry ou WannaCry. Mas ao longo do dia, @malwaretechblog e outros observadores constataram que o ritmo de infecção começou a cair. Foi só então que o blogger percebeu que o domínio que tinha comprado era o interruptor para desligar o programa. A saga é relatada na primeira pessoa, e em maior detalhe técnico, no blogue do inglês.

A descoberta deste mecanismo não chega a tempo de ajudar milhares de empresas e de particulares atingidos pelo ataque informático de sexta-feira, mas está a ter o efeito de abrandar o ritmo de propagação global do ransomware, dando tempo a potenciais vítimas para actualizarem os seus sistemas operativos.

Infecção global atinge Portugal

O WannaCry afecta computadores com o sistema Windows, cuja empresa proprietária, a Microsoft, anunciou entretanto um reforço de segurança. É distribuído por email, mas também se propaga de uns computadores para os outros, acabando por bloquear ficheiros Word, Excel e PowerPoint, bem como os formatos mais comuns de ficheiros de imagem, som e vídeo, entre muitos outros.

O ataque global atinge "um nível sem precedentes", declarou este sábado a Europol. Afectou sobretudo Espanha, Rússia, Ucrânia e Taiwan. No Reino Unido, o sistema nacional de saúde foi particularmente atingido, para além de fábricas do grupo Renault que tiveram de suspender a actividade. Também há registo de milhares de infecções nos EUA, China, Itália e Vietname, entre outras nações. 

Em Portugal, a PT confirmou ao PÚBLICO ter sido vítima do ataque. Outras empresas como a EDP agiram preventivamente, cortando acessos à Internet na sua rede. Na noite de sexta-feira, e citado pela Lusa, o Ministério Público anunciou estar a "acompanhar atentamente" a situação. 

O diário britânico The Guardian afirma que o WannaCry explorará vulnerabilidades recentemente expostas pelo colectivo hacker TheShadowBrokers, e que integram um conjunto de ferramentas de hacking da agência de espionagem norte-americana NSA que terão sido capturadas pelo grupo de piratas informáticos.