Inicio Especiais Petya: Tudo o que sabemos acerca da nova variante de ransomware

Petya: Tudo o que sabemos acerca da nova variante de ransomware

O mais recente ataque a nível global que foi detetado pela ESET como Win32 / Diskcoder.C, realçou mais uma vez que continuam a existir sistemas operativos desatualizados e soluções de segurança insuficientes. Ao mesmo tempo também é preocupante a frequência e a sofisticação das novas ameaças.

Os danos causados por este ataque levantaram uma série de perguntas a que vamos tentar dar resposta nas próximas linhas:

Petya: Quais são as caraterísticas desta ameaça?

  • Encriptação: O ransomware apenas encripta ficheiros com uma extensão específica, mas também tenta (geralmente com sucesso) encriptar a MBR (Master Boot Record), que é um fator essencial para o arranque do sistema operativo.
  • Propagação: Como um worm, o ransomware pode-se espalhar pela rede, infectando novos equipamentos.
  • Exploits: O ransomware explora vulnerabilidades em todos os computadores que não foram atualizados ou têm instaladas aplicações não corrigidas. Isso é algo que tem sido amplamente discutido desde o aparecimento do WannaCryptor.

É tão poderoso como o WannaCryptor?

Ambos tiveram o mesmo impacto. Na prática impedem o acesso às informações armazenadas num sistema. No entanto, o Win32 / Diskcoder.C não apenas encripta a informação que está nos computadores vulneráveis, como após o sistema ser reiniciado, deixa o sistema operativo inutilizado. Deste modo as vítimas são forçadas a procederem a uma reinstalação.

Propaga-se da mesma forma que o WannaCryptor?

Sim e não. Ambos usam o EternalBlue. No entanto, o Win32 / Diskcoder.C implementa outras técnicas de propagação através de ferramentas legítimas do Microsoft Windows, como o PsExec, que faz parte do conjunto de ferramentas Sysinternals, e também da linha de comando do Windows Management Instrumentation (WMIC), uma fonte para gerir dados e funcionalidades em computadores locais e remotos que executam os sistemas operativos Windows.

Quais as semelhanças com o Mischa e o Petya?

A principal razão pela qual eles são muitas das vezes agrupados é pelo facto dos três códigos maliciosos inutilizarem o sistema operativo ao encriptarem a MBR, bem como os dados que estão no sistema. Para além desse facto não têm mais aspetos em comum, uma vez que implementam processos e técnicas diferentes.

Petya

O que faz exatamente esta ameaça?

Depois do ransomware ser executado, cria uma tarefa agendada para reiniciar o computador dentro de um determinado período de tempo, que geralmente não ultrapassa os sessenta minutos.

Petya

Em paralelo, verifica se existem ou não pastas partilhadas ou discos que podem ser infectados. Se existirem, utiliza o WMIC para executar a amostra na máquina remota.

Petya

Posteriormente, começa a encriptar os ficheiros que contêm uma determinada extensão. Devemos destacar que, ao contrário da maioria dos ransomwares, este código malicioso não muda ou adiciona uma extensão específica depois de encriptar cada ficheiro, uma técnica amplamente utilizada por atacantes para distinguir ficheiros infectados.

Na captura de ecrã abaixo, podem observar as extensões de ficheiro que o código malicioso vai tentar encriptar:

Petya

Em paralelo, o malware tenta excluir os logs de eventos para não deixar nenhum rasto, para além de ocultar as suas ações. A próxima captura de ecrã mostra o comando que é executado utilizando a técnica acima mencionada:

Petya

Como se espalha de um país para o outro?

Como mencionado anteriormente, a propagação é uma característica proeminente desta ameaça. Uma vez que consegue infectar um computador, ela tenta extrair as credenciais do utilizador e depois tenta usá-las com o PsExec e o WMIC para procurar pastas e discos partilhados. A seguir, espalha-se através da rede informática. Desta forma, consegue infectar os computadores localizados em diferentes países e regiões.

Na maioria dos casos, esta ameaça foi detectada por equipas de empresas multinacionais que estavam ligadas em conjunto com outras subsidiárias na Europa ou Ásia. Posteriormente, espalha-se da mesma forma que um worm.

O que pode fazer para se proteger desta ameaça?

Solução Antivirus 

Instale uma solução antivírus em sua casa ou no computador do trabalho e assegure-se de que o seu sistema operativo é atualizado regularmente.

O sistema de segurança deve estar configurado para identificar corretamente quais as portas abertas e analisá-las. Isto torna-se especialmente importante para as portas 135, 139, 445 e 1025-1035 TCP, que usam WMI e PsExec.

Bloqueie a execução de ficheiros EXE

Deverá também bloquear a execução de arquivos EXE dentro de% AppData% e% Temp%; Se possível, desative a versão SMB 1.

Monitorize a sua rede

Certifique-se de que sua rede está bem configurada e segmentada, e monitorize constantemente o tráfego em busca de qualquer comportamento anormal.

Crie cópias de segurança

Identifique quais os dados e informações cruciais existentes no seu computador e faça um backup. Desta forma, se o seu sistema ficar encriptado, haverá forma de restaurá-lo. Gosta da Leak? Contamos consigo! Siga-nos no Google Notícias. Clique aqui e depois em Seguir.

Quer receber notificações gratuitas no seu smartphone ou computador sempre que lançamos um novo artigo? Clique aqui.

Siga-nos no Facebook, Twitter, Instagram! Quer falar connosco? Envie um email para geral@leak.pt.

Patricia Fonseca
Viciada em tecnologia, entrou para a equipa em 2012 e é responsável pela Leak Business, função que acumula com a de editora da Leak. Não dispensa o telemóvel nem o iPod e não consegue ficar sem experimentar nenhum dispositivo tecnológico.

DEIXE UMA RESPOSTA

Please enter your comment!
Please enter your name here

Leia também

Xiaomi bateu a Apple e agora é o número 3 do mundo!

Depois de perder por um curto período de tempo o seu lugar para a Huawei no segundo trimestre de 2020, a Samsung recuperou a...

(Especial – Radeon RX 6000) A AMD impressionou tudo e todos!

Temos de ser completamente sinceros, ninguém estava à espera que a AMD fosse capaz de igualar a oferta da NVIDIA! Especialmente depois desta ter...

SmartThings Find: nunca mais vai perder nada da Samsung!

A Samsung lançou uma grande novidade chamada SmartThings Find. É um novo serviço que usa tecnologia de banda ultralarga (UWB) e Bluetooth de baixa...

Windows 10 recebe uma grande novidade para jogadores!

A primeira vez de que falámos desta novidade foi a 30 de setembro. Agora eis que deixou de ser um simples teste e chegou...

Chrome recebe uma grande novidade que os Samsung já têm!

Volta e meia temos de recorrer aos screenshots, ou se preferir, às capturas de ecrã. Tanto por querermos mostrar algo a um amigo ou...