Ontem, o novo Petya ransomware atingiu máquinas e servidores cliente do Windows, espalhando-se em todo o mundo após infecções iniciais na Ucrânia. Os ataques consistem na disseminação de variantes fo malware Petya, descoberto em 2016, mas assim como o WannaCry que assustou o mundo em maio, pesquisadores descobriram que o Petya tem a sua “chave de liga-desliga” que pode ser acionada para evitar a sua infecção.
Graças ao pesquisador da Cybereason, Amit Serper, há agora uma “vacina” que pode ser aplicada em máquinas Windows que ainda não foram infectadas. A descoberta deSerper foram confirmadas pela TrustedSec, Emsisoft e pela PT Security. Ao contrário do Killswitch para WannaCry que foi descoberto por Marcus Hutchins, a “vacina” de Serper deve ser aplicada manualmente mas adverte que sua ideia é apenas uma correção temporária.
O pesquisador descobriu que quando o Petya obtêm acesso à partição do Windows do sistema vítima, ela procura um arquivo chamado “perfc.dll”. Se o malware não conseguir encontrar um arquivo com esse nome, ele começa com seu processo de criptografia do Masterboot Record do disco rígido.
Para “vacinar” o equipamento deve-se criar um arquivo com o nome “perf.dll” e instalá-lo no diretório “C:\\windows” marcadno-o como read-only.
Após a descoberta Serper recebeu várias ofertas de emprego, aos quais agradeceu e disse estar contente em trabalhar para Cybereason e alerta que esta é uma solução temporária e todos devem se concentrar em encontrar uma correção definitiva para combater os ataques de ransomwares.
fonte: Information Security Magazine por MindSec 28/06/2017
Deixe sua opinião!