Boa tarde Pessoal,
Novamente nossas atenções estão voltadas para mais um Ciberataque de escala global: o Ransomware Petya, muito parecido com o WannaCry que afetou mais de 200 mil computadores em mais de 150 países em maio.
Basicamente o Ransomware Petya e o WannaCry tem o mesmo objetivo, impedir o acesso aos arquivos do computador e solicitar um resgate, o diferencial do Petya que o torna um risco maior é que ele altera alguns setores de inicialização do Sistema Operacional, impedindo assim sua inicialização, o Petya por si só não criptografa os arquivos, mas tudo indica que seja uma variação, ou até mesmo que ele venha acompanhado de outro Malware que realiza a criptografia. Outro detalhe é que a conta de e-mail utilizada pelos cibercriminosos para se comunicarem com as vítimas foi cancelada pelo provedor, o que torna o processo de pagamento do resgate ainda mais difícil.
A Rússia e Ucrânia foram os países mais afetados até agora, no Brasil temos relatos de que o Hospital do Câncer em Barretos foi vítima de um Ransomware, e é bem provável que seja o mesmo ataque sofrido pela Europa.
E COMO SE PROTEGER?
O Petya utiliza as mesmas falhas exploradas pelo WannaCry e que foi corrigida pela Microsoft a meses atrás, mas como podemos observar muitos sistemas pelo mundo ainda não estão completamente atualizados.
Esse tipo de Malware normalmente é distribuído por e-mail, porém segundo a Cisco e a Kaspersky Lab há indícios que a propagação começou através das atualizações de um software ucraniano chamado MeDoc.
Os passos para se proteger são os mesmos que já temos recomendado em ataques anteriores.
- Atualizar o Sistema Operacional;
- Atualizar o Antivírus;
- Não utilizar computadores com privilégios de administrador;
- Manter o Backup atualizado e em local seguro;
- Ficar atendo a e-mails de fontes desconhecidas;
- Orientar os colaboradores dos Riscos.
DETALHES TÉCNICOS
Algumas análises desse novo Malware indicam que ele hiberna por um período de uma hora após infectar a máquina, depois então ela é reiniciada e começa a criptografia dos dados, em caso de suspeitas verifique se existe alguma tarefa agendada no windows com o parâmetro:
“%WINDIR%\system32\shutdown.exe /r /f”
Bom, por enquanto é isso que temos para passar para vocês, surgindo novidades vamos atualizando o Post.
Obrigado,
Gilson Bueno
Analista de Segurança da Informação
WAN Tecnologia