O que é Petya? Ransomware suspeito de estar por trás do ataque ciberataque mundial

Petya é ransomware que acredita-se estar por trás de um cyberataque do dia 27/06  contra milhares de computadores em toda a Europa e já espalha-se pelo mundo, então vamos entender o que é o Petya.

Um enorme ciberataque que afeta milhares de computadores em 64 países, como Ucrânia, Rússia, EUA, Índia, França, Alemanha e Espanha iniciou-se em 27 de junho e está atualmente em andamento, os especialistas em segurança cibernética acreditam que o Ranksomware Petya está por trás disso, embalado como PetrWrap.

Então, o que é Petya? É ransomware – um tipo de malware que criptografa dados, a menos que a vítima pague um resgate em cryptocurrency (BITCOIN)  para os criadores do software. Semelhante a WannaCry, que infectou hospitais e empresasem todo o mundo, inclusive no Brasil em maio, o Petya também é distribuído por e-mail.

De onde isso vem?

O Petya é distribuído através de emails maliciosos disfarçados de aplicações de trabalho. O e-mail vem com um link para uma pasta Dropbox, que hospeda um arquivo .zip malicioso que se destina apresentar um candidato por um CV. Quando o arquivo .zip é aberto, ele contém uma fotografia de um homem jovem (roubado de um site de imagens) e um arquivo .pdf ou um arquivo auto executável que finge ser um CV.

Se a vítima abrir o arquivo, será solicitado pelo Windows que permitam que o arquivo faça alterações em seu computador. A única maneira pela qual a vítima pode autorizar o malware é se tiver privilégios administrativos no computador, então, se o departamento de TI possui políticas que impeçam o usuário de fazer alterações no seu computador, não seria possível executar o ransomware.

Como a Petya sequestra os computadores?

Se a vítima autorizar o ransomware a fazer alterações no computador, então Petya imediatamente faz com que o computador falhe e mostre uma tela azul da morte. Quando a vítima tenta reiniciar sua máquina, eles são saudados por uma mensagem estilo DOS no mesmo formato e layout que a ferramenta Check Disk (CHKDSK), que é usada para reparar problemas com o sistema operacional Windows.

Normalmente, a mensagem exige que o usuário pague US$ 300 em bitcoin e promete que a vítima recuperará seus dados se eles pagarem. Os usuários também são direcionados para um site de informações em Tor, onde são avisados ​​que o preço do resgate dobrará se eles não pagarem dentro de sete dias.

O arquivo executável mal-intencionado substitui o boot record  do disco da vítima e faz uma cópia criptografada de todos os seus dados, antes de iniciar a tela azul da morte.

Como você se livra de Petya?

Especialistas em segurança da Kaspersky Lab atualmente acreditam que a Petya está por trás do atual ciberataque em andamento. Os pesquisadores da Cybersecurity já desenvolveram decodificadores e dicas para desativar o Petya, mas, como os criadores de malware o atualizam constantemente, as soluções estabelecidas podem não funcionar mais.

Vale a pena tentar, então veja abaixo o que você pode fazer.

Como desativar o Petya antes que ele esteja instalado

Embora seja difícil para um usuário comum, se você abriu um anexo de e-mail que você acha que pode ser malicioso, você pode impedir que ele seja executado. Assim, com a ajuda de um especialista de TI, acesse o Gerenciador de Tarefas do Windows pressionando simultaneamente as teclas Ctrl + Shift + Esc.

Em seguida, localize todos os processos suspeitos incomuns e termine-os.

Vá para Iniciar, digite “msconfig” no campo de pesquisa e pressione Enter. A caixa Configuração do sistema é exibida, onde você pode verificar todos os processos que são carregados no Startup. Procure por algo suspeito e mate-o. Em seguida, use um software antivírus de boa qualidade para verificar seu computador por qualquer malware e vírus remanescentes.

O que fazer se você receber a “Tela Azul da Morte”  (Blue Screen of Death)

Se você tiver a “tela azul da morte”, ainda há uma chance para você recuperar seus dados. Como mencionado acima, quando o Petya é iniciado, ele apenas criptografa o início do disco, mas não o resto dos dados.

Até que ele faça o caminho para a tabela de arquivos mestre, você ainda tem um tiro, então, se a tela azul da morte aparecer, desligue imediatamente o computador e remova o disco rígido.

Se você conectá-lo a outro computador, você pode recuperar seus arquivos se você baixar um algoritmo que crie uma chave legítima de um pesquisador independente de segurança cibernética . No entanto, o decodificador foi atualizado pela última vez em maio de 2016, então talvez corra o risco que não funcione mais.

fonte: International Business Time by Mary-Ann Russon

por MindSec 28/06/2017
Sobre mindsecblog 2401 Artigos
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.

2 Trackbacks / Pingbacks

  1. Rumores de que nova versão do Ransomware GandCrab pode explorar o SMB
  2. Recuperação de Ransomware começa antes do ataque! – Neotel Segurança Digital

Deixe sua opinião!