Ransomware pode se espalhar mesmo entre PCs com atualizações em dia

Pesquisador descobre forma de conter ataque do Petya/NotPetya

Felipe Ventura
• Atualizado há 8 meses

Mais detalhes estão surgindo sobre o ataque de ransomware que afetou milhares de computadores ao redor do mundo. Uma empresa na Ucrânia parece ser o paciente zero, e pesquisadores conseguiram encontrar uma forma de impedir que a infecção se alastre ainda mais.

O ransomware Petya se espalha devido a uma vulnerabilidade no Windows envolvendo o protocolo de transferência de dados SMB — a mesma usada pelo WannaCry. A Microsoft corrigiu essa falha em março; cabe às empresas atualizarem seus PCs.

Mas, segundo pesquisadores da Kaspersky, o Petya pode se espalhar em computadores já atualizados se eles estiverem na mesma rede de um PC vulnerável. Ele vai coletar senhas e credenciais dos outros computadores, e usá-las para fazer login e se proliferar.

Colin Scott, analista de TI na Escócia, conta em seu blog que “se um único PC estiver infectado e o malware tiver acesso às credenciais do administrador de domínio, então você já está ferrado”. Mesmo com a maioria dos computadores atualizados em sua empresa, ele diz: “perdemos muitos servidores e clientes”.

Cada ataque é composto por dois elementos que agem em conjunto: o ransomware que criptografa o sistema de arquivos do computador; e um ladrão de informações que extrai nomes de usuário e senhas das vítimas, e envia os dados para um servidor controlado pelos hackers. Então, essas credenciais são usadas pelo Petya para se espalhar em outras máquinas dentro de uma rede infectada.

Vacina

O pesquisador de segurança Amit Serper encontrou uma forma de impedir que o Petya criptografe seus arquivos. Infelizmente, isso não desfaz o estrago de computadores já infectados, mas impede que o ransomware continue a se espalhar.

Basicamente, é só criar um arquivo chamado “perfc” na pasta C:\Windows e torná-lo somente leitura. Outros pesquisadores também recomendam criar arquivos “perfc.dat” e “perfc.dll” na mesma pasta. O motivo é simples: o Petya procura um arquivo “perfc” somente-leitura nessa pasta e, caso ele já exista, o processo de criptografia é interrompido.

Após a infecção, o Petya espera de 10 a 60 minutos para reiniciar o computador. Então, ele exibe uma mensagem falsa do “CHKDSK” em preto e branco, dizendo que ocorreu um erro e que o sistema está verificando a integridade do disco. Na verdade, o Petya está criptografando todos os arquivos do disco, incluindo o MBR, que permite ao computador localizar seu sistema operacional e outros componentes-chave.

Por fim, ele mostra uma mensagem exigindo um resgate de US$ 300 em bitcoin, mas não adianta pagar: é preciso comprovar o pagamento para os hackers, só que o e-mail de contato foi desativado. Ainda assim, a carteira de bitcoin do Petya já acumula mais de US$ 10 mil.

The bitcoin wallet tied to #Petya/#NotPetya ransomware has so far received 45 payments totaling 3.99009155 BTC ($10,263.25 USD)

— petya_payments (@petya_payments) June 28, 2017

Paciente zero

Segundo a Bloomberg, diversas entidades apontam que a culpada pela proliferação do Petya é a empresa ucraniana M.E.Doc, que produz software de contabilidade.

A unidade de crimes cibernéticos da polícia da Ucrânia diz que a M.E.Doc lançou uma atualização de software com o malware, mas a empresa não sabia. A Microsoft diz em blog oficial que “algumas infecções ativas do ransomware começaram a partir do processo legítimo de atualização da M.E.Doc”. Kaspersky e FireEye reforçam o coro.

A M.E.Doc diz no Facebook que “as principais empresas de antivírus” examinaram seu software, e que ela não tem responsabilidade pela propagação do malware.

Vale notar que há uma discordância sobre o nome correto para o ransomware. Nas primeiras horas do ataque, os pesquisadores acreditavam se tratar de uma evolução do Petya, que vem infectando computadores desde 2016; de fato, ele pega código emprestado dessa ameaça mais antiga. No entanto, há diferenças o suficiente entre eles, motivando alguns pesquisadores a chamarem o novo malware de NotPetya.

De um jeito ou de outro, o fato é que ele se espalhou entre mais de 12.500 computadores e 65 países, segundo a Microsoft. No Brasil, o ransomware afetou hospitais de câncer no interior de São Paulo, em cidades como Barretos, Jales e Fernandópolis. O atendimento aos pacientes foi parcialmente restaurado desde então.

Com informações: Ars Technica, Bleeping Computer, Bloomberg.

Relacionados

Escrito por

Felipe Ventura

Felipe Ventura

Ex-editor

Felipe Ventura fez graduação em Economia pela FEA-USP, e trabalha com jornalismo desde 2009. No Tecnoblog, atuou entre 2017 e 2023 como editor de notícias, ajudando a cobrir os principais fatos de tecnologia. Sua paixão pela comunicação começou em um estágio na editora Axel Springer na Alemanha. Foi repórter e editor-assistente no Gizmodo Brasil.