Com o aparecimento do Ransomware Petya na última semana, surgiram muitas dúvidas sobre o modo de infecção e propagação desse novo malware, quais são as medidas de proteção necessárias e as diferenças e semelhanças entre o Petya (também conhecido como GoldenEye) e o WannaCry.
Diferenças e semelhanças entre Petya e WannaCry
De acordo com o último relatório divulgado pela Sophos Lab, os investigadores encontraram muitas semelhanças entre os malwares. Entretanto no Ransomware Petya não foi encontrado nenhum mecanismo de propagação via Internet, mas assim como no WannaCry, o método de alcance é o EternalBlue / DoublePulsar que visa explorar SMBs vulneráveis para se espalhar. Essa propagação só é feita através de redes locais.
Abaixo uma comparação do código:
Explorando ferramentas de linha de comando
Quando falha o exploit do SMB, o Ransomware Petya tenta se espalhar utilizando PSExec sobre contas de usuários locais (PsExec é uma ferramenta de linha de comando que permite aos usuários executar processos em sistemas remotos). Também executa uma ferramenta mimikatz LSAdump modificada que encontra todas as credenciais disponíveis na memoria.
Além disso, tenta acessar o Windows Management Instrumentation Command-line (WMIC) para baixar o conteúdo do malware e executá-lo em cada host remoto (WMIC é uma interface de script que simplifica o uso do Windows Management Instrumentation (WMI) e dos sistemas gerenciados por ele.
Usando técnicas de invasão WMIC / PsExec / LSAdump, os atacantes podem infectar PCs totalmente atualizados em redes locais, incluindo o Windows 10.
Fases do Ataque
Uma vez que o ataque é lançado, começa a fase de criptografia dos dados. O Ransomware Petya mistura as pastas de dados e sobrescreve o setor de arranque do HD, de modo que da próxima vez que o PC reinicie, também se mistura ao índice master do disco C:.
Para piorar as coisas, e possivelmente devido a que muitos usuários nunca apagam em seu computador, o ransomware força automaticamente o reinicio em uma hora, ativando assim o processo secundário de criptografia.
O usuário sabe que tem um problema e que aparece a janela em que solicita o resgate.
Vejamos além da mensagem de resgate:
Outro problema adicional é que a conta de e-mail a que devemos informar sobre o pagamento já foi excluída. Portanto, se aceitarmos a chantagem virtual, não há nenhuma forma de confirmar o pagamento, muito menos receber a chave de criptografia para voltar a acessar seus dados.
Como se proteger do Ransomware Petya?
Existem várias medidas de proteção indicadas para evitar o ataque. Listamos abaixo algumas delas:
- Certifique que os sistemas tenha o último patch de segurança, incluindo o boletim MS17-010 da Microsoft;
- Avalie bloquear a ferramenta da Microsoft PsExec. O ransomware Petya utiliza uma versão dessa ferramenta para propagar automaticamente. Essa ação pode ser realizada utilizando sua solução de Endpoint;
- Realize copias de segurança regularmente e guarde-as off-site. Há muitas maneiras de perder os seus dados: incêndios, inundações, roubo ou mesmo eliminação acidental. Se você tem um backup criptografado em local seguro, não terá com o que se preocupar;
- Não abra anexos de e-mails de destinatários desconhecidos. A maioria dos ransomware são encontrados lá, nos anexos de e-mail. Extrema cautela ao abrir esses arquivos. Uma boa solução de Mensaging Gateway pode ajudar;
- Utilize uma boa solução de firewall (UTM ou NGFW) com antimalware e antivírus, e revise regularmente se essas funcionalidades estão ativadas. Aqui nesse post coloquei um modo de validar essa funcionalidade, utilizando HTTP (sem criptografia) e HTTPs (com criptografia);
- Utilize uma solução de Endpoint confiável e revise se funcionalidades como IPS e sandboxing, por exemplo, estão ativadas.
Ficou alguma dúvida? Quer compartilhar sua experiencia, deixe seu comentário!