A Palo Alto Networks, especializada em cibersegurança corporativa, divulgou ontem em seu blog, Unit 42, informações sobre uma nova variante do malware Petya que está se espalhando pelo protocolo SMB do Microsoft Windows. Segundo indícios, o malware utiliza a ferramenta de exploração Eternalblue para realizar isso. Este é o mesmo caminho do malware Wanna Cry que se espalhou globalmente em maio de 2017.

Muitas organizações relataram interrupções de rede, incluindo o governo e os operadores de infraestrutura crítica. O ataque foi detectado, até o momento, na Ucrânia, em outras partes da Europa e segue em expansão.

De acordo com a Palo Alto Networks os usuários do Windows devem seguir as seguintes etapas gerais para se protegerem: aplicar atualizações de segurança no MS17-010, bloquear conexões de entrada na porta TCP 445, criar e manter bons backups para que, se ocorrer uma infecção, você possa restaurar seus dados.

Visão geral do ataque Petya é parte da família de ransomware que funciona modificando o Registro de Inicialização Mestre (MBR) do sistema Windows, fazendo com que o sistema falhe.

Quando o usuário reinicia seu PC, o MBR modificado impede que o Windows seja carregado e, em vez disso, exibe uma nota ASCII Ransom exigindo o pagamento da vítima. A versão mais recente do Petya ransomware está se espalhando por meio do Windows SMB e está usando a ferramenta de exploração Eternalblue, que explora o CVE-2017-0144 e foi originalmente lançada pelo grupo Shadow Brokers em abril de 2017.

Depois que o sistema é comprometido, a vítima é convidada a enviar 300 dólares para um endereço Bitcoin específico e, em seguida, encaminhar um e-mail com o ID da carteira de bitcoin da vítima para wowsmith123456@posteo[.]Net para recuperar sua chave de descriptografia individual. Cerca de 13 pagamentos já tinham sido feitos.Os ataques de Ransomware são muito comuns, mas raramente são combinados com uma exploração que permite que o malware se espalhe como uma contaminação de rede.

Como ficar protegido

Atualização

F Certifique-se de que os sistemas tenham os últimos patches, incluindo o do boletim Microsoft MS17-010;

Bloqueio

- Considere bloquear a ferramenta de execução Microsoft PsExec em computadores dos usuários. Você pode bloqueá-lo usando o Sophos Endpoint Protection. Uma versão desta ferramenta é usada como parte de outra técnica usada pela variante Petya para se espalhar automaticamente;

Segurança

- Faça uma cópia de segurança regularmente e mantenha uma cópia do backup recente fora do site. Há dezenas de maneiras, além do ransomware, em que os arquivos podem desaparecer de repente, como fogo, inundação, roubo, um laptop descartado ou mesmo uma exclusão acidental. Criptografe seu backup e você não terá que se preocupar com o dispositivo de backup caindo nas mãos erradas;

Anexos

- Evite abrir anexos em e-mails de destinatários que você não conhece, mesmo se você trabalha em RH ou Departamento Financeiros e usa muitos anexos em seu trabalho;

Apagar o seu rastro digital

- O usuário deve eliminar os cookies e seu histórico de navegação relacionadas ao uso de arquivos de Internet. Os navegadores da Web oferecem em “configurações” a opção de realizar a exclusão automaticamente.

Apagar as contas de usuários desatualizadas

- As contas que não se usa mais é melhor serem apagadas. Por exemplo, contas de usuário em serviços antigos, tais como viagens, lazer, informação profissional, em lojas online, sites de leilão ou dados bancários associados.

Privacidade de suas redes sociais

- O usuário deve separar um tempo para rever as suas opções de privacidade nas redes sociais. Da mesma forma, ele deve verificar a lista de contatos que foram adicionados, às vezes de forma indiscriminada, e eliminar aqueles que não são usados ou são difíceis de identificar.

Faxina geral programada

- Arquivos inúteis e duplicados podem ser presa fácil para os códigos maliciosos. Manter os dispositivos livres de lixo contribui para a segurança digital. Para esta tarefa é necessária uma ferramenta específica, que sabe identificar arquivos corrompidos, registro de sistemas. Esvaziar a lixeira também é uma necessidade, assim como a caixa de SPAM do correio eletrônico.

Apps só a partir de fontes oficiais

- O usuário deve apenas baixar aplicativos móveis de fontes seguras e oficiais como Google Play e Apple Play ou do fabricante do seu aparelho móvel. Antes de instalar é necessário avaliar as permissões de acesso a aplicações antes da instalação.

Instalar uma solução de segurança abrangente

- É essencial ter um software antivírus que possua todas as ferramentas de proteção do PC ou aparelho móvel e de todos os apps, serviços de e-mail, navegação na Web e acesso a serviços bancários e compras online. Existem soluções que incluem ferramentas de otimização e sistema de registo que ajudam a alcançar uma operação mais estável e eficiente.

- Baixe o teste gratuito do Sophos Intercept X e, para usuários domésticos (não comerciais), registre-se para o Sophos Home Premium Beta gratuito, que impede o ransomware, bloqueando a criptografia não autorizada de arquivos e setores em seu disco rígido.