O que você precisa saber sobre o ransomware Petya

Um ransomware ainda mais perigoso que o WannaCry, o Petya, além de criptografar todos os dados da vítima, também sequestra o computador e o deixa completamente inacessível, por criptografar seu Master Boot Record.

O Petya é outro ataque rápido que, como o WannaCry, usa o EternalBlue. Porém, diferente do WannaCry, o Petya também pode se espalhar remotamente, não possui ”botão de desligar”, é muito mais sofisticado e deixa as máquinas impossibilitadas de uso.

Como o Petya se espalha

Inicialmente, Petya foi pensado para obter uma brecha em redes corporativas por meio de e-mails com documentos de Word anexo infectados. Mas os pacotes Microsoft Office corrigidos com a atualização estão protegidos desses ataques.

Enquanto o phishing é um vetor de ataque viável, um dos principais vetores é o MeDoc, uma empresa de software financeiro da Ucrânia. O recurso de atualização de software da MeDoc foi hackeado e os atacantes usaram isso para distribuir o Petya. Isso explica por que a Ucrânia foi atingida de forma drástica.

Uma vez que a primeira máquina é infectada, esse ransomware se espalha ponto a ponto para outros bases Windowns e servidores vulneráveis. O Petya também pode se espalhar via PsExec, mesmo em máquinas atualizadas.

O que o Petya faz

Quando o Petya se instala na máquina, leva cerca de uma hora e meia para o ataque ser realizado. Dessa forma, o ransomware tem mais tempo para se espalhar por outras máquinas da rede e pode ofuscar o ponto de entrada.

Depois do tempo de espera, o ataque é feito em quatro etapas:

1 – O Petya criptografa o Master File Table (MFT) conectado localmente ao drive NTFS

2 – Cria uma cópia do ransomware dentro do Master Boot Record (MBR) para o servidor infectado

3 – Força a reinicialização da máquina para que o usuário fique bloqueado

4 – Exibe uma tela com informações para o resgata dos arquivos e da máquina

Quando a MFT é criptografada, o usuário ou servidor é mantido offiline até o pagamento do resgate.

Como prevenir um ataque do Petya

Para se proteger desse ransomware, é preciso cumprir as mesmas etapas tomadas para se proteger do WannaCry:

  • Desativar SMBv1 durante atualizações
  • Bloquear a porta TCP 445 por fora (ou entre os segmentos, se possível)
  • Aplicar todas as atualizações!

Um ransomware ainda mais perigoso que o WannaCry, o Petya, além de criptografar todos os dados da vítima, também sequestra o computador e o deixa completamente inacessível, por criptografar seu Master Boot Record.

O Petya é outro ataque rápido que, como o WannaCry, usa o EternalBlue. Porém, diferente do WannaCry, o Petya também pode se espalhar remotamente, não possui ”botão de desligar”, é muito mais sofisticado e deixa as máquinas impossibilitadas de uso.

Como o Petya se espalha

Inicialmente, Petya foi pensado para obter uma brecha em redes corporativas por meio de e-mails com documentos de Word anexo infectados. Mas os pacotes Microsoft Office corrigidos com a atualização estão protegidos desses ataques.

Enquanto o phishing é um vetor de ataque viável, um dos principais vetores é o MeDoc, uma empresa de software financeiro da Ucrânia. O recurso de atualização de software da MeDoc foi hackeado e os atacantes usaram isso para distribuir o Petya. Isso explica por que a Ucrânia foi atingida de forma drástica.

Uma vez que a primeira máquina é infectada, esse ransomware se espalha ponto a ponto para outros bases Windowns e servidores vulneráveis. O Petya também pode se espalhar via PsExec, mesmo em máquinas atualizadas.

O que o Petya faz

Quando o Petya se instala na máquina, leva cerca de uma hora e meia para o ataque ser realizado. Dessa forma, o ransomware tem mais tempo para se espalhar por outras máquinas da rede e pode ofuscar o ponto de entrada.

Depois do tempo de espera, o ataque é feito em quatro etapas:

1 – O Petya criptografa o Master File Table (MFT) conectado localmente ao drive NTFS

2 – Cria uma cópia do ransomware dentro do Master Boot Record (MBR) para o servidor infectado

3 – Força a reinicialização da máquina para que o usuário fique bloqueado

4 – Exibe uma tela com informações para o resgata dos arquivos e da máquina

Quando a MFT é criptografada, o usuário ou servidor é mantido offiline até o pagamento do resgate.

Como prevenir um ataque do Petya

Para se proteger desse ransomware, é preciso cumprir as mesmas etapas tomadas para se proteger do WannaCry:

  • Desativar SMBv1 durante atualizações
  • Bloquear a porta TCP 445 por fora (ou entre os segmentos, se possível)
  • Aplicar todas as atualizações!