Saiba tudo sobre Petya (Ransomware)

No dia 27 de junho de 2017, o Petya ficou marcado na história da cibersegurança. Trata-se da data que marcou a disseminação internacional de um ciberataque devastador, que infectou grandes organizações em mais de 100 países e fez com que dados confidenciais fossem bloqueados.

Visando atingir servidores Windows, esse ataque cibernético parecia ser uma variante atualizada do ransomware Petya. Os atacantes exploraram a vulnerabilidade Server Message Block, que o ataque de ransomware WannaCry já havia empregado antes para se espalhar em dispositivos.

Assim como o WannaCry, o Petya se espalhou rapidamente por redes que usam o Microsoft Windows no mundo. Mas o que é este tipo de ameaça, por que aconteceu e como pode ser interrompida? Neste post, você vai encontrar um guia rápido para saber tudo sobre Petya!

O que é Petya?

A ameaça Petya não se trata de uma única instância de ransomware, mas se refere a uma família de malwares que fazem uso de criptografia. O seu nome também pode ser usado para se referir ao ataque global de 2017, que teve como alvo principal diversas organizações institucionais da Ucrânia.

O Petya criptografa certos arquivos em seu computador e exige o pagamento de um resgate, em troca de uma chave de descriptografia. Mas enquanto muitas outras variedades de ransomwares se concentram em arquivos sensíveis (como documentos ou fotos), o Petya pode travar todo o seu disco rígido, impedindo até mesmo que o computador inicialize.

Por que o nome “Petya”?

Os malwares dessa família parecem compartilhar uma quantidade significativa de código com um ransomware mais antigo, que era chamado de Petya. Mas a verdade é que este ransomware tem uma altíssima capacidade de auto replicação.

Pesquisadores russos identificaram (e nomearam) o malware NotPetya por causa de algumas diferenças de código com relação ao “Petya” original. Com o tempo, cada vez mais variantes desse nome – Petna, Pneytna e assim por diante – também começaram a se espalhar pelo mundo.

Uma curiosidade sobre o nome “Petya” é que ele se tornou uma referência ao filme de James Bond “Golden Eye”. Uma conta do Twitter acusada como pertencente a um dos autores do Petya apresentava dois dos antagonistas do filme em seu nome e avatar.

Quais são as diferenças entre Petya e NotPetya?

Petya e NotPetya usam chaves diferentes para criptografar, e têm estilos de reinicialização, exibições e notas exclusivos. No entanto, ambos são igualmente destrutivos para qualquer sistema que atacam.

O NotPetya tira proveito de uma vulnerabilidade do Windows (EternalBlue), também explorada pelo WannaCry, que é um outro tipo de ransomware. O EternalBlue permite que malwares como o NotPetya se espalhem rapidamente por conta própria dentro de uma rede, infectando uma organização inteira em poucas horas.

É por isso que o ataque de 2017 teve grandes corporações (incluindo bancos, fornecedores de energia e conglomerados de transporte) infectadas tão rapidamente. Além do novo vetor de infecção, o NotPetya tem uma diferença adicional: seus danos são irreversíveis. Ele criptografa permanentemente qualquer computador que atinge e, devido à forma como essa criptografia ocorre, é impossível desfazê-la mesmo com o pagamento do resgate.

Como acontece a infecção?

Depois de explorar as vulnerabilidades do Windows, o Petya criptografa o registro mestre de inicialização, entre outros arquivos. Em seguida, envia uma mensagem ao usuário para conduzir uma reinicialização do sistema, após a qual ele fica inacessível.

Isso torna o sistema operacional incapaz de localizar arquivos, e em alguns casos não há como descriptografá-los, o que torna o Petya um tipo muito perigoso dewe ransomware.

As novas variantes aumentaram ainda mais seus recursos, adicionando um mecanismo de disseminação semelhante ao que vimos ao ataque WannaCry, em maio de 2017. Posteriormente, a Microsoft liberou uma atualização de segurança para corrigir a vulnerabilidade em versões com suporte do Windows, mas muitas organizações podem ainda não ter aplicado esses patches, ou terem feito a correção nas máquinas.

Como me proteger do Petya?

A melhor forma de se proteger do Petya é por meio de medidas preventivas. Apesar disso, existem algumas atitudes que podem te salvar caso seja alvo de um ataque. Saiba agora o que fazer em cada situação.

Antes de um ataque

A forma mais comum de disseminação do Petya se dá por meio de e-mails de phishing ou spam, portanto, certifique-se de verificar a legitimidade do conteúdo dos e-mails e anúncios que acessar. Para isso, tome cuidado com as URLs que ele contém e conte com a ajuda do nosso analisador de links para saber se aquela fonte é confiável.

Você também deve fazer um backup completo do conteúdo de seu dispositivo. Afinal, se uma máquina for infectada com o Petya, os dados podem se tornar irrecuperáveis. Para isso, copie os dados armazenados em um disco rígido externo ou nuvem.

Por fim, (e mais importante ainda), sempre aplique atualizações de sistema e aplicativos assim que estiverem disponíveis. Tanto o Petya quanto outras famílias de ransomwares semelhantes dependem de vulnerabilidades não corrigidas para violar sistemas.

Durante um ataque

O ransomware infecta computadores e espera cerca de uma hora antes de reiniciar a máquina. Sendo assim, você precisa desligar o computador imediatamente (para evitar que os arquivos sejam criptografados e tentar resgatar os arquivos) sempre que visualizar a mensagem abaixo.

Este alerta indica a ocorrência o processo de criptografia, ou seja: enquanto o computador não estiver ligado, seus arquivos estão a salvo. Desconecte o dispositivo da rede e certifique-se de que apenas um profissional da área de segurança da informação tente fazer a reinicialização da máquina e formate seu disco rígido.

Não se esqueça de que os ataques ransomware também são um crime, por isso não deixe de comunicar o ocorrido à polícia ou autoridades competentes.

Caso o sistema reinicie com alguma nota de resgate, não pague o valor solicitado, pois não há garantias de que você realmente poderá contar com a devolução dos seus arquivos.

Depois do ataque

A única maneira de se recuperar completamente de uma infecção de ransomware é restaurando tudo a partir do backup. Também é recomendado fazer uma avaliação de segurança completa para encontrar ameaças que ainda podem permanecer em seu ambiente. Dê uma boa olhada em suas ferramentas e procedimentos de segurança (ou conte com a ajuda de algum profissional para isso) e veja onde falharam.

Não se esqueça que alguns ransomwares contêm backdoors e outras ameaças, que podem levar a ataques futuros. É preciso ter em mente que, para ser vítima de um ataque, é possível que o dispositivo da vítima já estivesse vulnerável, e é importante saber se ainda há uma porta aberta para novos perigos. Faça uma limpeza em busca de ameaças ocultas.

Por fim, reforce suas defesas. O cenário de ameaças sofre muitas mudanças rapidamente, e requer soluções que possam analisar, identificar e bloquear – em tempo real – as URLs maliciosas e anexos que servem como veículos de ataque.

Procure soluções de segurança baseadas na Inteligência Artificial, que possam se adaptar a ameaças novas e ajudar a responder suas investidas com mais rapidez, antes que infecte sua máquina. Um software de segurança cibernética confiável é a sua melhor defesa na luta contra o Petya e outros malwares.

Gostou deste post? Se você deseja continuar aprendendo sobre Petya e outras ameaças, veja nosso post com os 14 tipos de ransomware mais perigosos da web!