Conteúdo
- O que é o ransomware NotPetya?
- Contra quem você se protege?
O que é o ransomware NotPetya?
NãoPetya (ou Envoltório para animais de estimação) é baseado em uma versão mais antiga do o ransomware Petya, que foi originalmente projetado para manter arquivos e dispositivos como reféns para pagamento em Bitcoin. No entanto, apesar A tentativa de NotPetya de arrecadar dinheiro no seu rápido ataque global, não parece estar estritamente à procura de dinheiro. Em vez disso, o NotPetya está criptografando os sistemas de arquivos das máquinas para prejudicar as empresas. O aspecto do ransomware é aparentemente apenas um disfarce.
Vídeos recomendados
O que torna o NotPetya perigoso é que por trás da frente baseada em ransomware há uma exploração chamada Eterno Azul, supostamente projetado pela Administração de Segurança Nacional dos Estados Unidos (também conhecida como NSA). Ele tem como alvo um protocolo de rede específico e vulnerável chamado Bloco de mensagens do servidor (versão 1) usado para compartilhar impressoras, arquivos e portas seriais entre PCs em rede baseados em Windows. Assim, a vulnerabilidade permite que atacantes remotos enviem e executem código malicioso em um alvo computador. O grupo de hackers Shadow Brokers vazou EternalBlue em abril de 2017.
O ransomware NotPetya também inclui um componente “worm”. Normalmente, as vítimas são vítimas de ransomware ao baixar e executar malware disfarçado como um arquivo legítimo anexado a um e-mail. Por sua vez, o malware criptografa arquivos específicos e exibe uma janela pop-up na tela, exigindo pagamento em Bitcoins para desbloquear esses arquivos.
No entanto, o ransomware Petya que surgiu no início de 2016 levou esse ataque um passo adiante ao criptografar todo o disco rígido do PC. unidade ou unidade de estado sólido infectando o registro mestre de inicialização, substituindo assim o programa que inicia a inicialização do Windows seqüência. Isso resultou em uma criptografia da tabela usada para rastrear todos arquivos locais (NTFS), evitando que o Windows localize qualquer coisa armazenada localmente.
Apesar de sua capacidade de criptografar um disco inteiro, o Petya só foi capaz de infectar um único PC alvo. Contudo, como visto com o recente surto de WannaCry, o ransomware agora tem a capacidade de passar de um PC para outro em uma rede local sem qualquer intervenção do usuário. O novo ransomware NotPetya é capaz da mesma infestação lateral de rede, ao contrário da versão original do Petya.
Segundo a Microsoft, um dos vetores de ataque do NotPetya é a capacidade de roubar credenciais ou reutilizar uma sessão ativa.
“Como os usuários frequentemente fazem login usando contas com privilégios de administrador local e têm sessões ativas abertas em múltiplas máquinas, as credenciais roubadas provavelmente fornecerão o mesmo nível de acesso que o usuário tem em outras máquinas. máquinas”, a empresa informa. “Depois que o ransomware tiver credenciais válidas, ele verifica a rede local para estabelecer conexões válidas.”
O ransomware NotPetya também pode usar compartilhamentos de arquivos para se multiplicar pela rede local e infestar máquinas que não estão corrigidas contra a vulnerabilidade EternalBlue. A Microsoft até menciona Romance Eterno, outra exploração usada contra o protocolo Server Message Block supostamente criado pela NSA.
“Este é um ótimo exemplo de dois componentes de malware se unindo para gerar malware mais pernicioso e resiliente”, disse Diretor de segurança da informação da Ivanti, Phil Richards.
Além do ataque rápido e generalizado do NotPetya, existe outro problema: o pagamento. O ransomware fornece uma janela pop-up exigindo que as vítimas paguem US$ 300 em Bitcoins usando um endereço Bitcoin específico, ID da carteira Bitcoin e número de instalação pessoal. As vítimas enviam essas informações para um endereço de e-mail fornecido, que responde com uma chave de desbloqueio. Esse endereço de e-mail foi rapidamente encerrado quando o provedor de e-mail alemão Posteo descobriu sua intenção maligna.
“Tomamos conhecimento de que chantagistas de ransomware estão atualmente usando um endereço Posteo como meio de contato. Nossa equipe antiabuso verificou isso imediatamente – e bloqueou a conta imediatamente”, a empresa disse. “Não toleramos o uso indevido de nossa plataforma: o bloqueio imediato de contas de e-mail mal utilizadas é a abordagem necessária por parte dos provedores em tais casos.”
Isso significa que qualquer tentativa de pagamento nunca seria realizada, mesmo que o pagamento fosse o objetivo do malware.
Por fim, a Microsoft indica que o ataque teve origem na empresa ucraniana M.E.Doc, desenvolvedora do software de contabilidade fiscal MEDoc. A Microsoft não parece estar apontando o dedo, mas em vez disso afirmou que tem provas de que “algumas infecções ativas do O ransomware começou inicialmente a partir do processo legítimo do atualizador MEDoc.” Este tipo de infecção, observa a Microsoft, é um crescente tendência.
Quais sistemas estão em risco?
Por enquanto, o ransomware NotPetya parece estar focado em atacar PCs baseados em Windows em organizações. Por exemplo, todo o sistema de monitorização da radiação localizado na central nuclear de Chernobyl foi ficou offline no ataque. Aqui nos Estados Unidos, o ataque atingiu todo o sistema de saúde de Heritage Valley, afetando todas as instalações que dependem da rede, incluindo os hospitais Beaver e Sewickley na Pensilvânia. O aeroporto de Kiev Boryspil, na Ucrânia horário de voo sofrido atrasos e seu site ficou offline devido ao ataque.
Infelizmente, não há informações apontando para as versões exatas do Windows que o ransomware NotPetya tem como alvo. O relatório de segurança da Microsoft não lista versões específicas do Windows, embora, por segurança, os clientes devam assumir que todas as versões comerciais e convencionais do Windows, desde o Windows XP até o Windows 10, sejam abrangidas pelo ataque janela. Afinal, mesmo Máquinas direcionadas ao WannaCry com Windows XP instalado.
Contra quem você se protege?
A Microsoft já emitiu atualizações bloqueando as explorações EternalBlue e EternalRomance usadas por este último surto de malware. A Microsoft abordou ambos em 14 de março de 2017, com o lançamento de atualização de segurança MS17-010. Isso foi há mais de três meses, o que significa que as empresas atacadas pelo NotPetya através desta exploração ainda não atualizaram seus PCs. A Microsoft sugere que os clientes instalem a atualização de segurança MS17-010 imediatamente, caso ainda não o tenham feito já.
Instalar a atualização de segurança é a maneira mais eficaz de proteger seu PC
Para organizações que ainda não podem aplicar a atualização de segurança, existem dois métodos que impedirão a propagação do ransomware NotPetya: desabilitando completamente o Server Message Block versão 1e/ou criando uma regra no roteador ou firewall que bloqueie o tráfego de entrada do Server Message Block na porta 445.
Há um outro maneira simples de prevenir infecções. Começar por abrindo o Explorador de Arquivos e carregando a pasta do diretório do Windows, que normalmente é “C: Windows”. Lá você precisará criar um arquivo chamado “perfc” (sim, sem extensão) e defina suas permissões para “Somente leitura” (via Geral/Atributos).
Claro, não existe uma opção real para criar um novo arquivo no diretório do Windows, apenas a opção Nova pasta. A melhor maneira de criar este arquivo é abrir o Bloco de Notas e salvar um arquivo “perfc.txt” em branco na pasta do Windows. Depois disso, basta excluir a extensão “.txt” do nome, aceitar o aviso pop-up do Windows e clicar com o botão direito no arquivo para alterar suas permissões para “Somente leitura”.
Assim, quando o NotPetya infecta um PC, ele verifica a pasta do Windows em busca desse arquivo específico, que na verdade é um de seus próprios nomes de arquivo. Se o arquivo perfc já estiver presente, o NotPetya assume que o sistema já está infectado e fica inativo. No entanto, com este segredo agora público, os hackers podem voltar à prancheta e revisar o ransomware NotPetya para depender de um arquivo diferente.
Recomendações dos Editores
- Este jogo permite que hackers ataquem seu PC e você nem precisa jogá-lo
- Seja mais produtivo com estas dicas e truques do Slack
