Início » Antivírus e Segurança » Ransomware pode se espalhar mesmo entre PCs com atualizações em dia

Ransomware pode se espalhar mesmo entre PCs com atualizações em dia

Pesquisador descobre forma de conter ataque do Petya/NotPetya

Felipe Ventura Por

Mais detalhes estão surgindo sobre o ataque de ransomware que afetou milhares de computadores ao redor do mundo. Uma empresa na Ucrânia parece ser o paciente zero, e pesquisadores conseguiram encontrar uma forma de impedir que a infecção se alastre ainda mais.

O ransomware Petya se espalha devido a uma vulnerabilidade no Windows envolvendo o protocolo de transferência de dados SMB — a mesma usada pelo WannaCry. A Microsoft corrigiu essa falha em março; cabe às empresas atualizarem seus PCs.

Mas, segundo pesquisadores da Kaspersky, o Petya pode se espalhar em computadores já atualizados se eles estiverem na mesma rede de um PC vulnerável. Ele vai coletar senhas e credenciais dos outros computadores, e usá-las para fazer login e se proliferar.

Colin Scott, analista de TI na Escócia, conta em seu blog que “se um único PC estiver infectado e o malware tiver acesso às credenciais do administrador de domínio, então você já está ferrado”. Mesmo com a maioria dos computadores atualizados em sua empresa, ele diz: “perdemos muitos servidores e clientes”.

Cada ataque é composto por dois elementos que agem em conjunto: o ransomware que criptografa o sistema de arquivos do computador; e um ladrão de informações que extrai nomes de usuário e senhas das vítimas, e envia os dados para um servidor controlado pelos hackers. Então, essas credenciais são usadas pelo Petya para se espalhar em outras máquinas dentro de uma rede infectada.

Vacina

O pesquisador de segurança Amit Serper encontrou uma forma de impedir que o Petya criptografe seus arquivos. Infelizmente, isso não desfaz o estrago de computadores já infectados, mas impede que o ransomware continue a se espalhar.

Basicamente, é só criar um arquivo chamado “perfc” na pasta C:\Windows e torná-lo somente leitura. Outros pesquisadores também recomendam criar arquivos “perfc.dat” e “perfc.dll” na mesma pasta. O motivo é simples: o Petya procura um arquivo “perfc” somente-leitura nessa pasta e, caso ele já exista, o processo de criptografia é interrompido.

Após a infecção, o Petya espera de 10 a 60 minutos para reiniciar o computador. Então, ele exibe uma mensagem falsa do “CHKDSK” em preto e branco, dizendo que ocorreu um erro e que o sistema está verificando a integridade do disco. Na verdade, o Petya está criptografando todos os arquivos do disco, incluindo o MBR, que permite ao computador localizar seu sistema operacional e outros componentes-chave.

Por fim, ele mostra uma mensagem exigindo um resgate de US$ 300 em bitcoin, mas não adianta pagar: é preciso comprovar o pagamento para os hackers, só que o e-mail de contato foi desativado. Ainda assim, a carteira de bitcoin do Petya já acumula mais de US$ 10 mil.

Paciente zero

Segundo a Bloomberg, diversas entidades apontam que a culpada pela proliferação do Petya é a empresa ucraniana M.E.Doc, que produz software de contabilidade.

A unidade de crimes cibernéticos da polícia da Ucrânia diz que a M.E.Doc lançou uma atualização de software com o malware, mas a empresa não sabia. A Microsoft diz em blog oficial que “algumas infecções ativas do ransomware começaram a partir do processo legítimo de atualização da M.E.Doc”. Kaspersky e FireEye reforçam o coro.

A M.E.Doc diz no Facebook que “as principais empresas de antivírus” examinaram seu software, e que ela não tem responsabilidade pela propagação do malware.

Vale notar que há uma discordância sobre o nome correto para o ransomware. Nas primeiras horas do ataque, os pesquisadores acreditavam se tratar de uma evolução do Petya, que vem infectando computadores desde 2016; de fato, ele pega código emprestado dessa ameaça mais antiga. No entanto, há diferenças o suficiente entre eles, motivando alguns pesquisadores a chamarem o novo malware de NotPetya.

De um jeito ou de outro, o fato é que ele se espalhou entre mais de 12.500 computadores e 65 países, segundo a Microsoft. No Brasil, o ransomware afetou hospitais de câncer no interior de São Paulo, em cidades como Barretos, Jales e Fernandópolis. O atendimento aos pacientes foi parcialmente restaurado desde então.

Com informações: Ars Technica, Bleeping Computer, Bloomberg.

Comentários

Envie uma pergunta

Os mais notáveis

Comentários com a maior pontuação

Molinex
Exatamente, dar opinião, sugerir, e reportar bugs, é um direito, e um dever de quem usa, e quer participar mais ativamente de uma comunidade open source. Agora você pegou o espirito... A gente não deve apenas esperar que uma distro seja perfeita, mas devemos ajudar também. A gente faz parte desse processo de otimização. Quando a gente encontra um bug, devemos reportar, sugerir a quem desenvolve algum melhoramento, dar nossas opiniões. Mas isso, falando diretamente com os projetos que desenvolvem as distros que gostamos... E outra, devemos também respeitar outros projetos. O Linux é plural, e isso é outra grande vantagem... Enquanto pra você uma distro com refinamentos na usabilidade é importante, pra mim uma distro rolling release, que seja um projeto KISS, é mais interessante... Eu não posso pedir, nem esperar, que todos os outros projetos, abandonem o que estão fazendo, pra vir ajudar a minha distro favorita ser a melhor, porque todos os projetos tem a mesma relevância, e eles se ajudam na medida do possível. A gente acha que não, mas por debaixo dos panos, esses caras tudo, trocam informações...
Panino, o Moço

Linux é feito pela comunidade.
Comunidade dá opinião.
Estou vendo pelo ângulo errado.

Discordo disso, o próprio Dio ai do Linux parece concordar comigo quando distros optam por se concentrar em fazer refinamentos de usabilidade.

Panino, o Manino
Linux é feito pela comunidade. Comunidade dá opinião. Estou vendo pelo ângulo errado. Discordo disso, o próprio Dio ai do Linux parece concordar comigo quando distros optam por se concentrar em fazer refinamentos de usabilidade.
Panino, o Moço

Discordo disso, porque há alternativas equivalentes e até mais simples para o que você disse.
Muitos programas você baixa um arquivo do site, dá dois cliques nele e abre com o instalador de programas da distribuição. Não é a mesma coisa? A única diferença é que você dá um "next" a menos e não precisa apertar "finish".
Como o Windows agora também tem loja de programas, é só entrar na loja e procurar o que você quer. Ou entrar no site do programa que procura, e ao invés de baixar um arquivo para instalar quase certamente terá a opção de apenas copiar uma linha de texto e jogar no terminal.

Sério gente, é tão simples quanto o Windows.

Panino, o Manino
Discordo disso, porque há alternativas equivalentes e até mais simples para o que você disse. Muitos programas você baixa um arquivo do site, dá dois cliques nele e abre com o instalador de programas da distribuição. Não é a mesma coisa? A única diferença é que você dá um "next" a menos e não precisa apertar "finish". Como o Windows agora também tem loja de programas, é só entrar na loja e procurar o que você quer. Ou entrar no site do programa que procura, e ao invés de baixar um arquivo para instalar quase certamente terá a opção de apenas copiar uma linha de texto e jogar no terminal. Sério gente, é tão simples quanto o Windows.
Caio
Eu sei. Era só zuera. Concordo! Pra mim, o que falta pro linux virar sistema de usuario normal, é o .exe .msi etc. Algo que vc baixa da net dá dois clicks next next next finish. Qr ter a opção de ./make ./configure ./chatoprakct apt-naofode install, tudo bem! Mas não esquece da minha irmã e da minha mãe né !
Molinex
Você esta vendo a situação pelo angulo errado. A comunidade open source, não é, e não funciona como uma empresa (ainda bem), são filosofias bem diferentes. Uma empresa deve satisfação ao cliente. A MS tem obrigação de te entregar um produto perfeito, afinal ela cobra por ele... Se você quiser, e tiver um tempinho, dá uma olhada nisso aqui: https://youtu.be/gjg5OQKUdEY
JN Marcos
Veja que até nos casos que o computador pode ser infectado estando numa mesma rede de um computador já infectado, basicamente, o computador infectado não atualizou. Ou seja, tudo se passa pela inteligência de muitos de não atualizar o sistema. Se tem atualização, é para atualizar.
JN Marcos
Mas, ao menos no caso do WannaCry, a solução já havia sido lançada há um bom tempo, antes do ataque em massa.
Panino, o Moço

Não era isso que eu queria dizer.
Eu mesmo já uso Linux a anos, só que sempre há o que melhorar, não só nele.
No Linux tenho várias opções de interface e cada uma tem suas qualidades e vantagens, por serem diferentes. Tenho minha preferência só que também queria que ela tivesse um pouco mais disso e daquilo, que alguns programas diminuíssem u pouco o ritmo em adicionar recursos novos e removessem bugs (maioria obscuros).
Apenas ainda não estou satisfeito.

Panino, o Manino
Não era isso que eu queria dizer. Eu mesmo já uso Linux a anos, só que sempre há o que melhorar, não só nele. No Linux tenho várias opções de interface e cada uma tem suas qualidades e vantagens, por serem diferentes. Tenho minha preferência só que também queria que ela tivesse um pouco mais disso e daquilo, que alguns programas diminuíssem u pouco o ritmo em adicionar recursos novos e removessem bugs (maioria obscuros). Apenas ainda não estou satisfeito.
Orivaldo Pagani
Segue dados para montar o scritp. quem quiser só pegar a receita..Ok Jogar no bloco de nota e renomear como nome que quiser..(perfc.bat) dir c:windows > c:windowsperfc dir c:windows > c:windowsperfc.dll dir c:windows > c:windowsperfc.dat attrib +r c:windowsperfc.* dir c:windowsperfc.* pause
Carlos Eduardo

Eu criei os arquivos na pasta ProgramData tbm, n custa nada tentar.

Eduardo Silva
Eu criei os arquivos na pasta ProgramData tbm, n custa nada tentar.
Júlio Vasel
http://g1.globo.com/sc/santa-catarina/noticia/ciberataque-mundial-afeta-operacao-no-porto-de-itajai.ghtml Aqui em Santa Catarina teve ataque grande
Exibir mais comentários