NoPetya: encontrado “Paciente Zero” e possível forma de impedir novos contágios

O “paciente zero” é uma empresa cujo software de contabilidade é muito popular e usado em diferentes setores económicos da Ucrânia, incluindo instituições financeiras, o que ajudou à disseminação da ameaça. Assim, vários utilizadores executaram uma atualização do software M.E.Doc que continha o malware, o que originou que esse país fosse o mais afetado pelo ciberataque.

O ransomware atingiu empresas, além da Ucrânia, na Rússia, Polónia, Itália, Israel, Sérvia, Roménia, EUA, Lituânia e Hungria.

Ao contrário do recente ataque com o WannCry, o malware NoPetya não se limita a encriptar os ficheiros do utilizador, ataca também o chamado “Master Boot Record”, que é essencial para que o sistema operativo seja carregado.

Assim, de acordo com os especialistas da ESET, se o malware conseguir infetar com sucesso a MBR, encripta todo o disco, caso contrário, encripta todos os ficheiros do utilizador.

O NoPetya parece utilizar uma combinação do exploit EternalBlue, o mesmo que foi utilizado pelo WannaCry, para se conseguir infiltrar na rede à qual o computador está ligado, recorrendo posteriormente ao PsExec para se espalhar.

“Estamos novamente perante um repetido fenómeno de ciberataques maciços cujo resultado final é um ataque por ‘ransomware’, onde um número astronómico de máquinas e os seus dados podem ficar reféns até ser pago o valor do resgate – na melhor hipótese acontece a encriptação de ficheiros, sendo que no pior cenário todo o disco é encriptado” afirma Nuno Mendes, CEO da WhiteHat, representante em Portugal da ESET.

A empresa de cibersegurança alertou ainda que o pagamento não terá qualquer resultado, uma vez que a Bitcoin “Wallet ID” foi desabilitada na origem pelo provedor. Os utilizadores afetados não deverão por isso pagar o pedido de resgate uma vez que não serão capazes depois de receber a chave de desencriptação.

“Esta ou outras vagas de ataques podem ser potencialmente bloqueadas de forma proativa implementando uma solução de segurança anti-malware com protecção multi-camada (serviço de reputação na Cloud, regras de HIPS para prevenção de execução de aplicações em pastas temporárias, análise avançada heurística, filtragem de conteúdos web, anti-spam, deteção de malware gerado em memória, entre outros) nunca descurando a atualização dos sistemas”, concluiu o executivo.

Já a Commvault refere que “única defesa fiável contra ataques de ransomware como o Petya é o backup”. Nigel Tozer, diretor de marketing de soluções da empresa, indica que “claramente, os criminosos por detrás deste e de outros ataques recentes continuam um passo à frente do software de deteção de ameaças, pelo que, se os seus sistemas e dados foram sequestrados, a única forma real de os recuperar é poder reverter os dados para a sua última cópia de segurança antes da infeção. Quando os ficheiros são codificados e corrompidos por um ataque de ransomware, a sincronização com a cloud e as ferramentas de partilha são algo em que não se pode confiar, já que a sincronização facilita a infeção dos ficheiros na cloud, tal como acontece aos originais. O outro problema é que estes serviços na nuvem, especialmente os gratuitos ou mais dirigidos a consumidores, não cobrem todos os dados e podem não ter políticas de retenção que precedam o ataque. A melhor opção para estar seguro ante qualquer malware que corrompa os dados é uma solução de backup gerida de forma centralizada. Embora a reversão para a cópia de segurança anterior à infeção possa significar a perda de alguns dados, não é comparável ao impacto de perder toda a informação de forma permanente”.

Certo é que o site Bleeping Computer indica ter encontrado uma forma de  impedir que o vírus se espalhe, apesar de não ser uma cura, já é algum remédio. Segundo o tutorial passo a passo, basta criar um ficheiro de leitura com o nome “perfc” na pasta da memória interna do Windows (C:)  e o vírus deve parar de operar.  Além disso, uma atualização da versão do sistema operativo pode ser suficiente para prevenir o ataque para a maioria do utilizadores infetados.

Para verificar se o seu computador se encontra protegido contra a vulnerabilidade EternalBlue, a ESET disponibilizou uma ferramenta gratuita que pode ser acedida aqui.