Início » Antivírus e Segurança » Ransomware pode se espalhar mesmo entre PCs com atualizações em dia

Ransomware pode se espalhar mesmo entre PCs com atualizações em dia

Pesquisador descobre forma de conter ataque do Petya/NotPetya

Felipe Ventura Por

Mais detalhes estão surgindo sobre o ataque de ransomware que afetou milhares de computadores ao redor do mundo. Uma empresa na Ucrânia parece ser o paciente zero, e pesquisadores conseguiram encontrar uma forma de impedir que a infecção se alastre ainda mais.

O ransomware Petya se espalha devido a uma vulnerabilidade no Windows envolvendo o protocolo de transferência de dados SMB — a mesma usada pelo WannaCry. A Microsoft corrigiu essa falha em março; cabe às empresas atualizarem seus PCs.

Mas, segundo pesquisadores da Kaspersky, o Petya pode se espalhar em computadores já atualizados se eles estiverem na mesma rede de um PC vulnerável. Ele vai coletar senhas e credenciais dos outros computadores, e usá-las para fazer login e se proliferar.

Colin Scott, analista de TI na Escócia, conta em seu blog que "se um único PC estiver infectado e o malware tiver acesso às credenciais do administrador de domínio, então você já está ferrado". Mesmo com a maioria dos computadores atualizados em sua empresa, ele diz: "perdemos muitos servidores e clientes".

Cada ataque é composto por dois elementos que agem em conjunto: o ransomware que criptografa o sistema de arquivos do computador; e um ladrão de informações que extrai nomes de usuário e senhas das vítimas, e envia os dados para um servidor controlado pelos hackers. Então, essas credenciais são usadas pelo Petya para se espalhar em outras máquinas dentro de uma rede infectada.

Vacina

O pesquisador de segurança Amit Serper encontrou uma forma de impedir que o Petya criptografe seus arquivos. Infelizmente, isso não desfaz o estrago de computadores já infectados, mas impede que o ransomware continue a se espalhar.

Basicamente, é só criar um arquivo chamado "perfc" na pasta C:\Windows e torná-lo somente leitura. Outros pesquisadores também recomendam criar arquivos "perfc.dat" e "perfc.dll" na mesma pasta. O motivo é simples: o Petya procura um arquivo "perfc" somente-leitura nessa pasta e, caso ele já exista, o processo de criptografia é interrompido.

Após a infecção, o Petya espera de 10 a 60 minutos para reiniciar o computador. Então, ele exibe uma mensagem falsa do "CHKDSK" em preto e branco, dizendo que ocorreu um erro e que o sistema está verificando a integridade do disco. Na verdade, o Petya está criptografando todos os arquivos do disco, incluindo o MBR, que permite ao computador localizar seu sistema operacional e outros componentes-chave.

Por fim, ele mostra uma mensagem exigindo um resgate de US$ 300 em bitcoin, mas não adianta pagar: é preciso comprovar o pagamento para os hackers, só que o e-mail de contato foi desativado. Ainda assim, a carteira de bitcoin do Petya já acumula mais de US$ 10 mil.

Paciente zero

Segundo a Bloomberg, diversas entidades apontam que a culpada pela proliferação do Petya é a empresa ucraniana M.E.Doc, que produz software de contabilidade.

A unidade de crimes cibernéticos da polícia da Ucrânia diz que a M.E.Doc lançou uma atualização de software com o malware, mas a empresa não sabia. A Microsoft diz em blog oficial que "algumas infecções ativas do ransomware começaram a partir do processo legítimo de atualização da M.E.Doc". Kaspersky e FireEye reforçam o coro.

A M.E.Doc diz no Facebook que "as principais empresas de antivírus" examinaram seu software, e que ela não tem responsabilidade pela propagação do malware.

Vale notar que há uma discordância sobre o nome correto para o ransomware. Nas primeiras horas do ataque, os pesquisadores acreditavam se tratar de uma evolução do Petya, que vem infectando computadores desde 2016; de fato, ele pega código emprestado dessa ameaça mais antiga. No entanto, há diferenças o suficiente entre eles, motivando alguns pesquisadores a chamarem o novo malware de NotPetya.

De um jeito ou de outro, o fato é que ele se espalhou entre mais de 12.500 computadores e 65 países, segundo a Microsoft. No Brasil, o ransomware afetou hospitais de câncer no interior de São Paulo, em cidades como Barretos, Jales e Fernandópolis. O atendimento aos pacientes foi parcialmente restaurado desde então.

Com informações: Ars Technica, Bleeping Computer, Bloomberg.

Mais sobre: ,

Comentários

Envie uma pergunta

Os mais notáveis

Comentários com a maior pontuação

Molinex
Exatamente, dar opinião, sugerir, e reportar bugs, é um direito, e um dever de quem usa, e quer participar mais ativamente de uma comunidade open source. Agora você pegou o espirito...

A gente não deve apenas esperar que uma distro seja perfeita, mas devemos ajudar também. A gente faz parte desse processo de otimização. Quando a gente encontra um bug, devemos reportar, sugerir a quem desenvolve algum melhoramento, dar nossas opiniões. Mas isso, falando diretamente com os projetos que desenvolvem as distros que gostamos...

E outra, devemos também respeitar outros projetos. O Linux é plural, e isso é outra grande vantagem...
Enquanto pra você uma distro com refinamentos na usabilidade é importante, pra mim uma distro rolling release, que seja um projeto KISS, é mais interessante...
Eu não posso pedir, nem esperar, que todos os outros projetos, abandonem o que estão fazendo, pra vir ajudar a minha distro favorita ser a melhor, porque todos os projetos tem a mesma relevância, e eles se ajudam na medida do possível. A gente acha que não, mas por debaixo dos panos, esses caras tudo, trocam informações...
Panino, o Moço
Linux é feito pela comunidade.Comunidade dá opinião.Estou vendo pelo ângulo errado.Discordo disso, o próprio Dio ai do Linux parece concordar comigo quando distros optam por se concentrar em fazer refinamentos de usabilidade.
Panino, o Manino
Linux é feito pela comunidade.
Comunidade dá opinião.
Estou vendo pelo ângulo errado.

Discordo disso, o próprio Dio ai do Linux parece concordar comigo quando distros optam por se concentrar em fazer refinamentos de usabilidade.
Panino, o Moço
Discordo disso, porque há alternativas equivalentes e até mais simples para o que você disse.Muitos programas você baixa um arquivo do site, dá dois cliques nele e abre com o instalador de programas da distribuição. Não é a mesma coisa? A única diferença é que você dá um "next" a menos e não precisa apertar "finish".Como o Windows agora também tem loja de programas, é só entrar na loja e procurar o que você quer. Ou entrar no site do programa que procura, e ao invés de baixar um arquivo para instalar quase certamente terá a opção de apenas copiar uma linha de texto e jogar no terminal.Sério gente, é tão simples quanto o Windows.
Panino, o Manino
Discordo disso, porque há alternativas equivalentes e até mais simples para o que você disse.
Muitos programas você baixa um arquivo do site, dá dois cliques nele e abre com o instalador de programas da distribuição. Não é a mesma coisa? A única diferença é que você dá um "next" a menos e não precisa apertar "finish".
Como o Windows agora também tem loja de programas, é só entrar na loja e procurar o que você quer. Ou entrar no site do programa que procura, e ao invés de baixar um arquivo para instalar quase certamente terá a opção de apenas copiar uma linha de texto e jogar no terminal.

Sério gente, é tão simples quanto o Windows.
Caio
Eu sei. Era só zuera. Concordo!
Pra mim, o que falta pro linux virar sistema de usuario normal, é o .exe .msi etc. Algo que vc baixa da net dá dois clicks next next next finish.
Qr ter a opção de ./make ./configure ./chatoprakct apt-naofode install, tudo bem! Mas não esquece da minha irmã e da minha mãe né !
Molinex
Você esta vendo a situação pelo angulo errado. A comunidade open source, não é, e não funciona como uma empresa (ainda bem), são filosofias bem diferentes. Uma empresa deve satisfação ao cliente. A MS tem obrigação de te entregar um produto perfeito, afinal ela cobra por ele...

Se você quiser, e tiver um tempinho, dá uma olhada nisso aqui:
https://youtu.be/gjg5OQKUdEY
JN Marcos
Veja que até nos casos que o computador pode ser infectado estando numa mesma rede de um computador já infectado, basicamente, o computador infectado não atualizou. Ou seja, tudo se passa pela inteligência de muitos de não atualizar o sistema. Se tem atualização, é para atualizar.
JN Marcos
Mas, ao menos no caso do WannaCry, a solução já havia sido lançada há um bom tempo, antes do ataque em massa.
Panino, o Moço
Não era isso que eu queria dizer.Eu mesmo já uso Linux a anos, só que sempre há o que melhorar, não só nele.No Linux tenho várias opções de interface e cada uma tem suas qualidades e vantagens, por serem diferentes. Tenho minha preferência só que também queria que ela tivesse um pouco mais disso e daquilo, que alguns programas diminuíssem u pouco o ritmo em adicionar recursos novos e removessem bugs (maioria obscuros).Apenas ainda não estou satisfeito.
Panino, o Manino
Não era isso que eu queria dizer.
Eu mesmo já uso Linux a anos, só que sempre há o que melhorar, não só nele.
No Linux tenho várias opções de interface e cada uma tem suas qualidades e vantagens, por serem diferentes. Tenho minha preferência só que também queria que ela tivesse um pouco mais disso e daquilo, que alguns programas diminuíssem u pouco o ritmo em adicionar recursos novos e removessem bugs (maioria obscuros).
Apenas ainda não estou satisfeito.
Orivaldo Pagani
Segue dados para montar o scritp. quem quiser só pegar a receita..Ok

Jogar no bloco de nota e renomear como nome que quiser..(perfc.bat)

dir c:windows > c:windowsperfc
dir c:windows > c:windowsperfc.dll
dir c:windows > c:windowsperfc.dat
attrib +r c:windowsperfc.*
dir c:windowsperfc.*
pause
Carlos Eduardo
Eu criei os arquivos na pasta ProgramData tbm, n custa nada tentar.
Eduardo Silva
Eu criei os arquivos na pasta ProgramData tbm, n custa nada tentar.
Júlio Vasel
http://g1.globo.com/sc/santa-catarina/noticia/ciberataque-mundial-afeta-operacao-no-porto-de-itajai.ghtml

Aqui em Santa Catarina teve ataque grande
Panino, o Moço
Estou com o mesmo problema, desabilitei o SMB1 da rede toda e como o compartilhamento no PC que me interessa se recusa a funcionar apenas com SMB2 eu voltei a usar pendrives.
Panino, o Manino
Estou com o mesmo problema, desabilitei o SMB1 da rede toda e como o compartilhamento no PC que me interessa se recusa a funcionar apenas com SMB2 eu voltei a usar pendrives.
Panino, o Moço
Eu tenho usado faz algum tempo, prefiro usar Linux para o dia a dia, mas todo dia é uma pequena aporrinhação diferente. Falta carinho com os detalhes, há bugs por todos os lados, falta de otimização...E pelo que vejo os desenvolvedores ao invés de se unirem para resolver esses problemas, eles se separam e vão cada um criar seu novo sistema, e assim nada atinge maturidade, chega em uma qualidade ideal.Sei que Linux também tem seus falhas e pode ser atacado, mas pelo menos parece um pouco melhor que o Windows.
Panino, o Manino
Eu tenho usado faz algum tempo, prefiro usar Linux para o dia a dia, mas todo dia é uma pequena aporrinhação diferente. Falta carinho com os detalhes, há bugs por todos os lados, falta de otimização...
E pelo que vejo os desenvolvedores ao invés de se unirem para resolver esses problemas, eles se separam e vão cada um criar seu novo sistema, e assim nada atinge maturidade, chega em uma qualidade ideal.

Sei que Linux também tem seus falhas e pode ser atacado, mas pelo menos parece um pouco melhor que o Windows.
Felipe Cotta
Isto é culpa da NSA e outras agencias de "segurança", que ou criam backdoor no SO da Microsoft e equipamentos, ou ainda utilizam falhas e não comunicam os fabricantes, só olham para o lado deles enfim quem sofre são os usuários, por mim tanto faz este vírus para Windows, não uso mesmo o Sistema da Microsoft
Marcogro®
Fico tentado a adotar o procedimento de prevenção acima citado, ao mesmo tempo que imagino se esses remendos não serão a próxima falha explorada...
O WannaCry me fez desabilitar o "Suporte para Compartilhamento de Arquivos SMB 1.0/CIFS" e agora o Petya me fez sair da rede doméstica, pois não sei até que ponto o comportamento do outro me expõe. Vendo que se a Microsoft não consegue se antecipar e garantir a segurança do seu produto, só nos resta rezar...
Marcogro®
KKKKKKKKkkkk
[SQN]
Caio
Kkkkkkkkkkkk
[ANO DO LINUX DETECTED]
Marcos Leandro Nascimento
Mantem desatualizado e depois reclamam de segurança.
Jacques
O problema nem é o sistema operacional.

Se a maioria usasse linux pode ter certeza que iriam explorar ainda mais as falhas e, boa parte delas poderiam ser evitadas se mantivessem o sistema atualizado junto de boas práticas, mas né, essas empresas ai foram invadidas pois o protocolo SMB tava exposto na internet!
Molinex
A usabilidade é perfeita pra quem usa... E o fato de existirem varios projetos, na verdade é bom, porque você pode escolher por algo que tem mais há ver com você...
Mint com Cinamon, pra quem vem do Windows, sem muita experiencia com outros sistemas, é sempre a melhor pedida...
Molinex
312.500, juntando o quero chorar e a preta, preta, pretinha... E contando...
O próximo pode ser o seu...
Pedro Tashima
Linux não é perfeito, mas em relação ao Windows é quase.
Alan
Reproduzir em laboratório e o método é real.
Panino, o Moço
Está difícil não abandonar o Windows. É uma boa hora para pressionar a comunidade Linux para pararem de frescura e unirem esforços para melhorar a usabilidade das distros.
Panino, o Manino
Está difícil não abandonar o Windows.
É uma boa hora para pressionar a comunidade Linux para pararem de frescura e unirem esforços para melhorar a usabilidade das distros.
Bruno
depende da temperatura que o pc estiver.
igorruckert
Eu fiz... Antes prevenir do que remediar
Igor Ruckert
Eu fiz... Antes prevenir do que remediar
Arakaki
Esse método pra impedir a infecção é quente?
Marcelo Arakaki Guimarães
Esse método pra impedir a infecção é quente?
Maico Andrade
Vamos pras GPO's agora né...