Não é um artigo super sério, mas achei muito divertido – aparentemente, o Windows XP tem um BSOD (Blue Screen of Death) quando confrontado com uma infecção WannaCry .
Há uma análise muito extensiva do WannaCry aqui, de onde essas informações vêm do WannaCry: duas semanas e 16 milhões de resgates desviados depois .
Sim, o WannaCrypt pode infectar todas as máquinas que ainda executam o Windows XP, mas, como o XP é tão esquisito, é improvável que as caixas zumbis tenham contribuído muito para a disseminação do worm.
Essa é a conclusão dos pesquisadores da Kryptos Logic após algumas semanas destruindo máquinas simuladoras de testes de colisão no laboratório.
A empresa observa que a taxa de infecção provavelmente atingiu até 727.000 IPs únicos no auge.
No início da infecção, foi assumido – inclusive por El Reg – que os sistemas Windows XP sem patch faziam parte do problema, principalmente porque ele vive nos sistemas de vítimas precoces, do Serviço Nacional de Saúde da Inglaterra.
O Kryptos (cuja lista inclui o célebre holware MalwareTech) bateu a cabeça por um motivo quase cômico: sim, o WannyCrypt poderia infectar máquinas XP, mas a carga subjacente do DOUBLEPULSAR continuava atingindo os alvos.
Parece que a suposição inicial de que o WannaCry teria muitas máquinas Windows XP envolvidas parece provavelmente falsa, pois a execução da carga útil nas máquinas XP SP3 (a mais comum) provocou um BSOD aleatório e a reinicialização.
Ainda é um sistema operacional bastante comum, vejo a maioria das máquinas ATM na Ásia executando o Windows XP ou o Windows XP Embedded como o sistema operacional host.
Está bem abaixo da barra de rolagem nesta extensa análise do WannaCrypt:
Os pesquisadores estavam executando a infecção passo a passo: primeiro, execute manualmente o binário WannaCrypt em uma máquina Windows 2008 Server SP1; segundo, testar a propagação por meio da exploração ETERNALBLUE; e terceiro, envie a carga útil usando DOUBLEPULSAR.
Em seguida, o pessoal do Kryptos começou a trabalhar em sistemas de teste de backdoor manualmente com o DOUBLEPULSAR. Embora isso tenha funcionado bem no Windows 7 de 64 bits, SP1, “foi constatado que os dois hosts do Windows XP mantinham a triagem azul e a reinicialização sem que nenhuma infecção ocorresse”.
Isso não significa que o XP foi misteriosamente protegido pelo amor ao BSOD – se você conseguisse que um usuário o executasse manualmente localmente, ele criptografaria os arquivos da vítima.
No entanto, escreve Kryptos, o XP provavelmente não contribuiu muito para o número de máquinas infectadas, “já que o principal vetor de infecção era a exploração de PME” porque “a exploração implementada no WannaCry não parece implantar DOUBLEPULSAR de maneira confiável e obter o RCE adequado. “
Essas foram as descobertas basicamente:
- Windows XP com Service Pack 2 – Sem infecção
- Windows XP com Service Pack 3 – Tela azul aleatória da morte (BSOD), mas nenhuma infecção
- Windows 7 de 64 bits com Service Pack 1 – infectado após várias tentativas
- Windows Server 2008 com Service Pack 1 – Não foi possível replicar a infecção, mas relatou a exploração