Um ransomware ainda mais perigoso que o WannaCry, o Petya, além de criptografar todos os dados da vítima, também sequestra o computador e o deixa completamente inacessível, por criptografar seu Master Boot Record.
O Petya é outro ataque rápido que, como o WannaCry, usa o EternalBlue. Porém, diferente do WannaCry, o Petya também pode se espalhar remotamente, não possui ”botão de desligar”, é muito mais sofisticado e deixa as máquinas impossibilitadas de uso.
Como o Petya se espalha
Inicialmente, Petya foi pensado para obter uma brecha em redes corporativas por meio de e-mails com documentos de Word anexo infectados. Mas os pacotes Microsoft Office corrigidos com a atualização estão protegidos desses ataques.
Enquanto o phishing é um vetor de ataque viável, um dos principais vetores é o MeDoc, uma empresa de software financeiro da Ucrânia. O recurso de atualização de software da MeDoc foi hackeado e os atacantes usaram isso para distribuir o Petya. Isso explica por que a Ucrânia foi atingida de forma drástica.
Uma vez que a primeira máquina é infectada, esse ransomware se espalha ponto a ponto para outros bases Windowns e servidores vulneráveis. O Petya também pode se espalhar via PsExec, mesmo em máquinas atualizadas.
O que o Petya faz
Quando o Petya se instala na máquina, leva cerca de uma hora e meia para o ataque ser realizado. Dessa forma, o ransomware tem mais tempo para se espalhar por outras máquinas da rede e pode ofuscar o ponto de entrada.
Depois do tempo de espera, o ataque é feito em quatro etapas:
1 – O Petya criptografa o Master File Table (MFT) conectado localmente ao drive NTFS
2 – Cria uma cópia do ransomware dentro do Master Boot Record (MBR) para o servidor infectado
3 – Força a reinicialização da máquina para que o usuário fique bloqueado
4 – Exibe uma tela com informações para o resgata dos arquivos e da máquina
Quando a MFT é criptografada, o usuário ou servidor é mantido offiline até o pagamento do resgate.
Como prevenir um ataque do Petya
Para se proteger desse ransomware, é preciso cumprir as mesmas etapas tomadas para se proteger do WannaCry:
- Desativar SMBv1 durante atualizações
- Bloquear a porta TCP 445 por fora (ou entre os segmentos, se possível)
- Aplicar todas as atualizações!
Um ransomware ainda mais perigoso que o WannaCry, o Petya, além de criptografar todos os dados da vítima, também sequestra o computador e o deixa completamente inacessível, por criptografar seu Master Boot Record.
O Petya é outro ataque rápido que, como o WannaCry, usa o EternalBlue. Porém, diferente do WannaCry, o Petya também pode se espalhar remotamente, não possui ”botão de desligar”, é muito mais sofisticado e deixa as máquinas impossibilitadas de uso.
Como o Petya se espalha
Inicialmente, Petya foi pensado para obter uma brecha em redes corporativas por meio de e-mails com documentos de Word anexo infectados. Mas os pacotes Microsoft Office corrigidos com a atualização estão protegidos desses ataques.
Enquanto o phishing é um vetor de ataque viável, um dos principais vetores é o MeDoc, uma empresa de software financeiro da Ucrânia. O recurso de atualização de software da MeDoc foi hackeado e os atacantes usaram isso para distribuir o Petya. Isso explica por que a Ucrânia foi atingida de forma drástica.
Uma vez que a primeira máquina é infectada, esse ransomware se espalha ponto a ponto para outros bases Windowns e servidores vulneráveis. O Petya também pode se espalhar via PsExec, mesmo em máquinas atualizadas.
O que o Petya faz
Quando o Petya se instala na máquina, leva cerca de uma hora e meia para o ataque ser realizado. Dessa forma, o ransomware tem mais tempo para se espalhar por outras máquinas da rede e pode ofuscar o ponto de entrada.
Depois do tempo de espera, o ataque é feito em quatro etapas:
1 – O Petya criptografa o Master File Table (MFT) conectado localmente ao drive NTFS
2 – Cria uma cópia do ransomware dentro do Master Boot Record (MBR) para o servidor infectado
3 – Força a reinicialização da máquina para que o usuário fique bloqueado
4 – Exibe uma tela com informações para o resgata dos arquivos e da máquina
Quando a MFT é criptografada, o usuário ou servidor é mantido offiline até o pagamento do resgate.
Como prevenir um ataque do Petya
Para se proteger desse ransomware, é preciso cumprir as mesmas etapas tomadas para se proteger do WannaCry:
- Desativar SMBv1 durante atualizações
- Bloquear a porta TCP 445 por fora (ou entre os segmentos, se possível)
- Aplicar todas as atualizações!
What you should do now
Below are three ways we can help you begin your journey to reducing data risk at your company:
- Schedule a demo session with us, where we can show you around, answer your questions, and help you see if Varonis is right for you.
- Download our free report and learn the risks associated with SaaS data exposure.
- Share this blog post with someone you know who'd enjoy reading it. Share it with them via email, LinkedIn, Reddit, or Facebook.
-1.png)
