Petya: Tudo o que sabemos acerca da nova variante de ransomware

As respostas que faltavam acerca desta perigosa ameaça

64610
0
Share:

O mais recente ataque a nível global que foi detetado pela ESET como Win32 / Diskcoder.C, realçou mais uma vez que continuam a existir sistemas operativos desatualizados e soluções de segurança insuficientes. Ao mesmo tempo também é preocupante a frequência e a sofisticação das novas ameaças.

Os danos causados por este ataque levantaram uma série de perguntas a que vamos tentar dar resposta nas próximas linhas:

Petya: Quais são as caraterísticas desta ameaça?

  • Encriptação: O ransomware apenas encripta ficheiros com uma extensão específica, mas também tenta (geralmente com sucesso) encriptar a MBR (Master Boot Record), que é um fator essencial para o arranque do sistema operativo.
  • Propagação: Como um worm, o ransomware pode-se espalhar pela rede, infectando novos equipamentos.
  • Exploits: O ransomware explora vulnerabilidades em todos os computadores que não foram atualizados ou têm instaladas aplicações não corrigidas. Isso é algo que tem sido amplamente discutido desde o aparecimento do WannaCryptor.

É tão poderoso como o WannaCryptor?

Ambos tiveram o mesmo impacto. Na prática impedem o acesso às informações armazenadas num sistema. No entanto, o Win32 / Diskcoder.C não apenas encripta a informação que está nos computadores vulneráveis, como após o sistema ser reiniciado, deixa o sistema operativo inutilizado. Deste modo as vítimas são forçadas a procederem a uma reinstalação.

Propaga-se da mesma forma que o WannaCryptor?

Sim e não. Ambos usam o EternalBlue. No entanto, o Win32 / Diskcoder.C implementa outras técnicas de propagação através de ferramentas legítimas do Microsoft Windows, como o PsExec, que faz parte do conjunto de ferramentas Sysinternals, e também da linha de comando do Windows Management Instrumentation (WMIC), uma fonte para gerir dados e funcionalidades em computadores locais e remotos que executam os sistemas operativos Windows.

Quais as semelhanças com o Mischa e o Petya?

A principal razão pela qual eles são muitas das vezes agrupados é pelo facto dos três códigos maliciosos inutilizarem o sistema operativo ao encriptarem a MBR, bem como os dados que estão no sistema. Para além desse facto não têm mais aspetos em comum, uma vez que implementam processos e técnicas diferentes.

O que faz exatamente esta ameaça?

Depois do ransomware ser executado, cria uma tarefa agendada para reiniciar o computador dentro de um determinado período de tempo, que geralmente não ultrapassa os sessenta minutos.

Em paralelo, verifica se existem ou não pastas partilhadas ou discos que podem ser infectados. Se existirem, utiliza o WMIC para executar a amostra na máquina remota.

Posteriormente, começa a encriptar os ficheiros que contêm uma determinada extensão. Devemos destacar que, ao contrário da maioria dos ransomwares, este código malicioso não muda ou adiciona uma extensão específica depois de encriptar cada ficheiro, uma técnica amplamente utilizada por atacantes para distinguir ficheiros infectados.

Na captura de ecrã abaixo, podem observar as extensões de ficheiro que o código malicioso vai tentar encriptar:

Em paralelo, o malware tenta excluir os logs de eventos para não deixar nenhum rasto, para além de ocultar as suas ações. A próxima captura de ecrã mostra o comando que é executado utilizando a técnica acima mencionada:

Como se espalha de um país para o outro?

Como mencionado anteriormente, a propagação é uma característica proeminente desta ameaça. Uma vez que consegue infectar um computador, ela tenta extrair as credenciais do utilizador e depois tenta usá-las com o PsExec e o WMIC para procurar pastas e discos partilhados. A seguir, espalha-se através da rede informática. Desta forma, consegue infectar os computadores localizados em diferentes países e regiões.

Na maioria dos casos, esta ameaça foi detectada por equipas de empresas multinacionais que estavam ligadas em conjunto com outras subsidiárias na Europa ou Ásia. Posteriormente, espalha-se da mesma forma que um worm.

O que pode fazer para se proteger desta ameaça?

Solução Antivirus 

Instale uma solução antivírus em sua casa ou no computador do trabalho e assegure-se de que o seu sistema operativo é atualizado regularmente.

O sistema de segurança deve estar configurado para identificar corretamente quais as portas abertas e analisá-las. Isto torna-se especialmente importante para as portas 135, 139, 445 e 1025-1035 TCP, que usam WMI e PsExec.

Bloqueie a execução de ficheiros EXE

Deverá também bloquear a execução de arquivos EXE dentro de% AppData% e% Temp%; Se possível, desative a versão SMB 1.

Monitorize a sua rede

Certifique-se de que sua rede está bem configurada e segmentada, e monitorize constantemente o tráfego em busca de qualquer comportamento anormal.

Crie cópias de segurança

Identifique quais os dados e informações cruciais existentes no seu computador e faça um backup. Desta forma, se o seu sistema ficar encriptado, haverá forma de restaurá-lo.

Share:
Patricia Fonseca

Leave a reply