Trojan.Ransom.Petya (Petya 2.0 2016 Ransomware, flashing lights warning)
Índice:
- Como o Petya Ransomware se espalha?
- O que acontece depois que um PC é infectado?
- Como se manter seguro?
Um novo ataque de ransomware que usa uma versão modificada da vulnerabilidade EternalBlue explorada nos ataques WannaCry surgiu na terça-feira e já atingiu mais de 2000 PCs em todo o mundo na Espanha, França, Ucrânia, Rússia e outros países.
O ataque atingiu principalmente empresas nesses países, enquanto um hospital em Pittsburg, EUA, também foi atingido. As vítimas do ataque incluem o Banco Central, Ferrovias, Ukrtelecom (Ucrânia), Rosnett (Rússia), WPP (Reino Unido) e DLA Piper (EUA), entre outros.
Embora o maior número de infecções tenha sido encontrado na Ucrânia, o segundo mais alto na Rússia, seguido pela Polônia, Itália e Alemanha. A conta de bitcoin que aceitou pagamentos completou mais de 24 transações antes de ser encerrada.
Embora o ataque não tenha sido direcionado para empresas na Índia, o alvo foi a gigante AP Moller-Maersk e o porto de Jawaharlal Nehru está sob ameaça, já que a empresa opera os Terminais Gateway no porto.
Como o Petya Ransomware se espalha?
O ransomware usa um exploit semelhante usado nos ataques de ransomware WannaCry em grande escala no início deste mês, que visavam máquinas executadas em versões desatualizadas do Windows, com uma pequena modificação.
A vulnerabilidade pode ser explorada através de uma execução remota de código em PCs que executam o Windows XP para sistemas Windows 2008.
O ransomware infecta o PC e o reinicia usando ferramentas do sistema. Após a reinicialização, ele criptografa a tabela MFT em partições NTFS e sobrescreve o MBR com um carregador personalizado exibindo a nota de resgate.
De acordo com a Kaspersky Labs, “Para capturar credenciais para propagação, o ransomware usa ferramentas personalizadas, como o Mimikatz. Estas extraem credenciais do processo lsass.exe. Após a extração, as credenciais são passadas para as ferramentas PsExec ou WMIC para distribuição dentro de uma rede. ”
O que acontece depois que um PC é infectado?
Depois que Petya infecta um PC, o usuário perde o acesso à máquina, que exibe uma tela preta com texto em vermelho que diz o seguinte:
“Se você vir esse texto, seus arquivos não estarão mais acessíveis porque foram criptografados. Talvez você esteja ocupado procurando uma maneira de recuperar seus arquivos, mas não perca nosso tempo. Ninguém pode recuperar seus arquivos sem o nosso serviço de descriptografia. ”
E há instruções sobre o pagamento de US $ 300 em Bitcoins e uma maneira de inserir a chave de descriptografia e recuperar os arquivos.
Como se manter seguro?
Atualmente, não há nenhuma maneira concreta de descriptografar os arquivos mantidos como reféns pelo ransomware Petya, já que ele usa uma chave de criptografia sólida.
Mas o site de segurança Bleeping Computer acredita que criar um arquivo somente leitura chamado 'perfc' e colocá-lo na pasta Windows na unidade C pode ajudar a parar o ataque.
Também é importante que as pessoas, que ainda não o fizeram, baixem e instalem imediatamente o patch da Microsoft para sistemas operacionais mais antigos do Windows que finaliza a vulnerabilidade explorada pela EternalBlue. Isso ajudará a protegê-los contra um ataque por uma cepa semelhante de malware, como a Petya.
Se a máquina reiniciar e você vir esta mensagem, desligue-a imediatamente! Este é o processo de criptografia. Se você não ligar, os arquivos estão bem. pic.twitter.com/IqwzWdlrX6
- Hacker Fantastic (@hackerfantastic) 27 de junho de 2017
Embora o número e a magnitude dos ataques de ransomware estejam aumentando a cada dia, sugere-se que o risco de novas infecções diminua consideravelmente após as primeiras horas do ataque.
Leia também: Ataques Ransomware em ascensão: aqui está como ficar seguro.E no caso de Petya, os analistas prevêem que o código mostra que não vai se espalhar para além da rede. Ninguém foi capaz de identificar quem é responsável por este ataque ainda.
Os pesquisadores de segurança ainda não encontraram uma maneira de descriptografar os sistemas infectados pelo ransomware Petya e, como nem os hackers podem ser contatados agora, todos os afetados permanecerão assim por enquanto.
Bitcoin exchange A maior bolsa de bitcoin disse nesta quinta-feira que está lutando contra um intenso ataque de negação de serviço distribuído que acredita ter a intenção de manipular o preço da moeda virtual, que tem visto oscilações de preço voláteis no passado. A maior bolsa de bitcoin informou nesta quinta-feira que está lutando contra um intenso ataque de negação de serviço distribuído que acredita ter a intenção de manipular o preço da moeda virtual, que tem visto oscilações de preço volát
Mt A Gox, que tem sede em Tóquio, disse que os ataques já causaram os piores momentos de queda e que as páginas de erro foram exibidas aos traders, de acordo com um post no Facebook. Por seu próprio cálculo, 80% dos negócios de bitcoin em dólares americanos são executados no Monte. A plataforma de negociação da Gox e 70% de todos os negócios em outras moedas.
Direitos autorais protegem os detentores de contas bancárias são mais importantes do que fornecer informações para ajudar na execução de direitos autorais De acordo com uma decisão do tribunal holandês esta semana, as leis de privacidade que protegem correntistas bancários são mais importantes do que fornecer informações para ajudar na execução de direitos autorais, segundo uma decisão do tribunal holandês esta semana. tem que revelar quem tem acesso a uma conta bancária, cujo número está public
FTD World, em ftdworld.net, é um site de indexação da Usenet que lista links para arquivos binários postados no Usenet. Ele também fornece arquivos na listagem do formato NZB que permite aos usuários fazer o download dos arquivos publicados com mais facilidade. Ao fazer isso, o site fornece acesso a arquivos de entretenimento protegidos por direitos autorais, incluindo livros, filmes, músicas, jogos e software sem a permissão dos detentores dos direitos autorais, segundo a fundação antipirataria
Ransomware Petya: um ataque financiado pelo Estado ou não
Especialistas em segurança são da opinião de que o ataque de ransomware Petya que infectou vários milhares de sistemas pode ser um ataque de estado-nação, não um ransomware.