Caro leitor,
Na terça 27 de junho de 2017, as notícias inundaram a mídia dominante sobre um grande surto de Petya Ransomware que afetou vários países ao redor do mundo. A F-Secure acompanhou de perto a situação e assegurando que nossos produtos possam lidar com a ameaça em conformidade.
Este artigo contém mais informações sobre Petya, como isso afeta usuários e etapas que os administradores podem tomar para melhorar a segurança das máquinas sob seus cuidados.
Começando no final da noite de terça-feira 27 de junho de 2017, houve relatos na mídia convencional de ataques de resgate em vários países ao redor do mundo. A ameaça foi relatada afetando empresas de transporte marítimo, grandes corporações, serviços públicos nacionais, instalações de transporte público e outros serviços públicos. O Ransomware responsável pelas infecções é conhecido como Petya, Petrwrap, NotPetya, Petna e GoldenEye.
As estatísticas dos dados de telemetria da F-Secure Labs indicam que até agora, apenas um número insignificante de nossos usuários de produtos globalmente relataram encontros com essa ameaça, na qual foram identificados e bloqueados com sucesso. Continuamos a acompanhar de perto a situação em curso, mas, desde o momento da redação, tem visto um impacto direto nos nossos clientes.
O impacto de ter até mesmo uma máquina infectada com Petya pode ser significativo para uma organização afetada. Este comunicado pretende, portanto, fornecer detalhes sobre como os usuários normalmente encontram a ameaça e as etapas que a rede ou os administradores de sistemas podem tomar para melhorar a segurança de suas estações de trabalho, servidores e usuários.
Petya é ransomware – um programa malicioso que é usado para extorquir dinheiro de um usuário afetado ou organização. Ao contrário do ransomware normal, a Petya não afeta diretamente os arquivos em um computador; Em vez disso, ele almeja o próprio sistema operacional criptografando. Arquivos relacionados ao processo de inicialização ou inicialização do computador. Uma vez que esses arquivos são criptografados, o uso normal da máquina afetada torna-se impossível.
Tal como acontece com todos esses ransomware (também conhecido como crypto-ransomware), a descriptografia de
Arquivos afetados sem a chave de descriptografia necessária é extremamente difícil, tornando a remoção ou remediação um desafio bastante significativo.
Se ocorrer uma infecção, recomendamos a restauração de todos os arquivos através de backups, ao invés de pagar pelo resgate.
No momento da escrita, o vetor de infecção inicial para o Petya Ransomware ainda não foi confirmado.
Uma vez que está presente em uma máquina na rede, foi descoberto que o Petya Ransomware usa a ferramenta de exploração EternalBlue para encontrar outras máquinas vulneráveis na rede, potencializando seu impacto em uma organização.
Esta ferramenta visa conhecidas vulnerabilidades no Window’s Server Messaging Block (SMB).
A ferramenta EternalBlue usada para alavancar as vulnerabilidades é notável por ser publicamente exposto em um vazamento de dados supostamente roubados da Agência Nacional de Segurança Nacional(NSA) e publicado on-line pelo grupo de hackers conhecido como “The Shadow Brokers”.
Um patch para as vulnerabilidades direcionadas já foi lançado em março de 2017, MS017-010 Security Bulletin publicado pela Microsoft para todas as versões suportadas de Windows. Todos os sistemas não apresentados permanecem vulneráveis e, portanto, podem ser atacados.
O ransomware é distribuído como um arquivo DLL. Uma vez executado, cria uma tarefa agendada para reiniciar o computador afetado em uma hora.
Enquanto aguarda a reinicialização, o malware tenta propagar-se a qualquer acesso em máquinas conectadas na rede. Para fazer isso, ele examina a rede para, correspondendo aos endereços de IP e os coleta; Então explora as vulnerabilidades SMB para soltar uma cópia de si mesma na máquina vulnerável e assim também infectando a máquina alvo.
Uma vez que a tarefa agendada executa e reinicia a máquina, o malware interfere o processo de inicialização normal, criptografando a tabela de arquivos mestre (MFT) para partições NTFS e substituindo o Master Boot Record (MBR) do computador por um carregador de inicialização personalizado.
Enquanto isso, o malware exibe uma mensagem semelhante à uma operação CHKDSK para enganar o usuário e ele assim pensar que um processo normal está ocorrendo. Veja um exemplo da imagem abaixo:
Uma vez que a criptografia está concluída, o bootloader exibe a demanda de resgate, veja um exemplo da imagem abaixo:
A partir do momento da escrita, a F-Secure detecta todas as variantes conhecidas do Petya Ransomware com múltiplas detecções de assinatura. As detecções incluem, mas não são limitado a:
Como de costume, estamos trabalhando continuamente na criação de genéricos e atualizando detecções por esta ameaça para melhorar nossa cobertura e desempenho. Assim sendo, recomendamos que todos os produtos sejam atualizados com a última detecção. Atualizações de banco de dados para garantir cobertura total e proteção.
As seguintes ações devem ser tomadas pelos administradores do sistema para melhorar a segurança das estações de trabalho, servidores e usuários sob seus cuidados.
PARA WINDOWS: O seguinte conselho é aplicável para todos os sistemas Windows.
PARA PRODUTOS F-SECURE: O seguinte conselho é aplicável para todos os produtos de segurança F-Secure.
Petya Ransomware Outbreak Proves WannaCry was Only the Beginning
https://www.f-secure.com/v-descs/trojan_w32_petya_f.shtml
https://technet.microsoft.com/en-us/library/security/MS17-010
https://www.f-secure.com/en/web/labs_global/inform-us
Deixe uma resposta