Este ataque é preocupante porque é o segundo grande ataque de ransomware em dois meses, o que afetou empresas em todo o mundo. Você pode se lembrar que, em maio, o Serviço Nacional de Saúde, NHS, na Grã-Bretanha, foi infectado por um malware chamado WannaCry. Este programa afetou o NHS e várias outras organizações em todo o mundo. WannaCry foi revelado ao público pela primeira vez quando documentos vazados relacionados ao NHS foram divulgados online por hackers conhecidos como Shadow Brokers em abril.
O software WannaCry, também chamado de WannaCrypt, afetou mais de 230.000 computadores, localizados em mais de 150 países em todo o mundo. Além do NHS, a Telefonica, uma companhia telefônica espanhola e ferrovias estatais na Alemanha também foram atacadas.
Semelhante ao WannaCry, o “Petya” se espalha rapidamente pelas redes que utilizam o Microsoft Windows. A questão é, no entanto, é o que é isso? Também queremos saber por que isso está acontecendo e como isso pode ser interrompido.
O que é ransomware?
A primeira coisa que você deve entender é a definição de ransomware . Basicamente, o ransomware é qualquer tipo de malware que bloqueia seu acesso a um computador ou dados. Então, quando você tentar acessar o computador ou os dados nele, você não poderá acessá-lo, a menos que pague um resgate. Muito desagradável e absolutamente significa!
Como o Ransomware funciona?
Também é importante entender como o ransomware funciona. Quando um computador é infectado por ransomware, ele se torna criptografado. Isso significa que os documentos em seu computador são bloqueados e você não pode abri-los sem pagar um resgate. Para complicar ainda mais as coisas, o resgate deve ser pago em Bitcoin, não em dinheiro, por uma chave digital que você pode usar para desbloquear os arquivos. Se você não tiver um backup dos seus arquivos, você tem duas opções: você pode pagar o resgate, que geralmente é de algumas centenas de dólares a vários milhares de dólares, ou você perde o acesso a todos os seus arquivos.
Como funciona o ransomware “Petya”?
O ransomware “Petya” funciona como a maioria dos ransomwares. Ele pega um computador e pede $ 300 em Bitcoin. Este é um software mal-intencionado que se espalha rapidamente por uma rede ou organização quando um único computador é infectado. Este software em particular usa a vulnerabilidade EternalBlue, que faz parte do Microsoft Windows. Embora a Microsoft tenha lançado um patch para a vulnerabilidade, nem todos a instalaram. O ransomware também está potencialmente espalhado através das ferramentas administrativas do Windows, que é acessível se não houver senha no computador. Se o malware não conseguir de um jeito, ele tenta automaticamente outro, que é como ele se espalhou tão rapidamente entre essas organizações.
Assim, “Petya” se espalha muito mais fácil do que o WannaCry, de acordo com especialistas em segurança cibernética.
Existe alguma maneira de se proteger de "Petya?"
Você provavelmente está se perguntando se há alguma maneira de se proteger de "Petya". A maioria das grandes empresas de antivírus afirmou que atualizou seu software para ajudar a não apenas detectar, mas também a proteger contra a infecção por malware "Petya". Por exemplo, o software da Symantec oferece proteção contra o “Petya” e o Kaspersky atualizou todos os seus softwares para ajudar os clientes a se protegerem do malware. Além disso, você pode se proteger mantendo o Windows atualizado. Se você não fizer mais nada, instale pelo menos o patch crítico que o Windows lançou em março, que defende contra essa vulnerabilidade do EternalBlue. Isso interrompe uma das principais formas de se infectar e também protege contra futuros ataques.
Outra linha de defesa para o surto de malware “Petya” também está disponível e só foi descoberta recentemente. O malware verifica a unidade C: \ em busca de um arquivo somente leitura chamado perfc.dat. Se o malware encontrar esse arquivo, ele não executará a criptografia. No entanto, mesmo se você tiver esse arquivo, ele não impede a infecção por malware. Ele ainda pode espalhar o malware para outros computadores em uma rede, mesmo que o usuário não o perceba em seu computador.
Por que este malware é chamado de "Petya?"
Você também pode estar se perguntando por que esse malware é chamado de “Petya”. Na verdade, não é tecnicamente chamado de “Petya”. Em vez disso, ele parece compartilhar muito código com um antigo ransomware chamado “Petya”. Após o surto inicial, no entanto, especialistas em segurança notaram que esses dois ransomwares não eram tão semelhantes quanto se pensava inicialmente. Assim, os pesquisadores da Kaspersky Lab começaram a se referir ao malware como “NotPetya” (isso é original!), Além de outros nomes, incluindo “Petna” e “Pneytna”. Além disso, outros pesquisadores chamaram o programa de outros nomes, incluindo “Goldeneye”. Bitdefender, da Romênia, começou a ligar. No entanto, "Petya" já havia ficado preso.
Onde começou o “Petya”?
Você está se perguntando onde "Petya" começou? Parece ter começado através de um mecanismo de atualização a partir de software que é construído em um determinado programa de contabilidade. Essas empresas estavam trabalhando com o governo ucraniano e exigiam que o governo usasse esse programa em particular. É por isso que tantas empresas na Ucrânia foram afetadas por isso. As organizações incluem bancos, governo, o sistema de metrô de Kiev, o maior aeroporto de Kiev e empresas estatais de energia.
O sistema que monitora os níveis de radiação em Chernobyl também foi afetado pelo ransomware e, finalmente, ficou offline. Isso forçou os funcionários a usar dispositivos manuais manuais para medir a radiação na zona de exclusão. Além disso, houve uma segunda onda de infecções por malware geradas por uma campanha que incluía anexos de e-mail, cheios de malware.
Até que ponto a infecção de “Petya” se espalhou?
O ransomware "Petya" se espalhou por toda parte e atrapalhou os negócios de empresas nos EUA e na Europa. Por exemplo, a WPP, uma empresa de publicidade nos EUA, a Saint-Gobain, uma empresa de materiais de construção na França, e a Rosneft e a Evraz, empresas de petróleo e aço na Rússia, também foram afetadas. Uma empresa de Pittsburgh, a Heritage Valley Health Systems, também foi atingida pelo malware “Petya”. Esta empresa administra hospitais e instalações de atendimento em toda a área de Pittsburgh.
No entanto, ao contrário do WannaCry, o malware “Petya” tenta se espalhar rapidamente através das redes e acessa, mas não tenta se espalhar para fora da rede. Este fato por si só pode ter ajudado vítimas em potencial desse malware, já que limitou a disseminação dele. Então, parece haver uma diminuição em quantas novas infecções foram vistas.
Qual é a motivação dos cibercriminosos que enviam “Petya?”
Quando "Petya" foi inicialmente descoberto, parece que o surto do malware foi simplesmente uma tentativa de um cibercriminoso de se aproveitar de vazamentos de armas virtuais on-line. No entanto, quando os profissionais de segurança analisaram um pouco mais de perto o surto de malware “Petya”, eles dizem que alguns mecanismos, como o pagamento, são bastante amadores, então não acreditam que criminosos cibernéticos sérios estejam por trás disso.
Primeiro, a nota de resgate que vem com o malware “Petya” inclui exatamente o mesmo endereço de pagamento para cada vítima de malware. Isso é estranho porque os profissionais criam um endereço personalizado para cada uma de suas vítimas. Em segundo lugar, o programa pede às vítimas que se comuniquem diretamente com os invasores por meio de um endereço de e-mail específico, que foi imediatamente suspenso quando foi descoberto que o endereço de e-mail foi usado para as vítimas "Petya". Isso significa que, mesmo que uma pessoa pague o resgate de US $ 300, não poderá se comunicar com os invasores e, além disso, não poderá acessar a chave de descriptografia para desbloquear o computador ou seus arquivos.
Quem são os atacantes, então?
Especialistas em segurança cibernética não acreditam que um cibercriminoso profissional esteja por trás do malware “Petya”, então quem é? Ninguém sabe neste momento, mas é provável que a pessoa ou pessoas que o liberaram queriam que o malware parecesse um simples ransomware, mas, em vez disso, é muito mais destrutivo do que o ransomware típico. Um pesquisador de segurança, Nicolas Weaver, acredita que "Petya" é um ataque malicioso, destrutivo e deliberado. Outro pesquisador, que atende pelo Grugq, acredita que o original “Petya” fazia parte de uma organização criminosa para ganhar dinheiro, mas esse “Petya” não está fazendo o mesmo. Ambos concordam que o malware foi projetado para se espalhar rapidamente e causar muitos danos.
Como mencionamos, a Ucrânia foi duramente atingida por “Petya” e o país apontou seus dedos para a Rússia. Isso não é surpresa, considerando que a Ucrânia culpou a Rússia por um número de ataques cibernéticos anteriores também. Um desses ataques cibernéticos ocorreu em 2015, e foi destinado à rede de energia ucraniana. Em última análise, acabou temporariamente deixando partes do oeste da Ucrânia sem qualquer poder. A Rússia, no entanto, negou qualquer envolvimento em ataques cibernéticos na Ucrânia.
O que você deve fazer se você acredita que você é uma vítima de ransomware?
Você acha que pode ser vítima de um ataque de ransomware? Esse ataque em particular infecta um computador e aguarda aproximadamente uma hora antes que o computador comece a reinicializar espontaneamente. Se isso acontecer, tente imediatamente desligar o computador. Isso pode impedir que os arquivos no computador sejam criptografados. Nesse ponto, você pode tentar tirar os arquivos da máquina.
Se o computador concluir a reinicialização e o resgate não aparecer, não o pague. Lembre-se, o endereço de e-mail usado para coletar informações das vítimas e enviar a chave é desativado. Portanto, desconecte o PC da Internet e da rede, reformate o disco rígido e use um backup para reinstalar os arquivos. Verifique se você está sempre fazendo o backup de seus arquivos regularmente e sempre mantenha seu software antivírus atualizado.