Petrwrap esse é o nome do novo ransomware que está se espalhando pelo mundo

Petrwrap esse é o nome do novo ransomware que está se espalhando pelo mundo

Em maio o WannaCry fez com que até mesmo quem nunca ouviu falar de ransomware conhecesse um pouco sobre esse tipo de ameaça, e agora, um novo caso envolvendo um ransomware está ganhando a atenção do mundo: Petrwrap. Esse é o nome da ameaça que está atacando principalmente empresas na Europa, e que inclusive já chegou ao Brasil, já que os computadores do Hospital do Câncer de Barretos, localizado no interior de São Paulo, foram afetados logo pela manhã desta terça-feira (27).

Além de sugir pouco tempo depois do já histórico WannaCry, o Petrwrap, descoberto pela Kaspersky, que a princípio foi tratado como uma variante do Petya, mas a companhia de segurança já trata a ameaça como um ransomware totalmente novo. O malware explora a mesma falha no protocolo de compartilhamento de arquivos do Windows, o SMB, mais precisamente o SMBv1, brecha que já foi corrigida pela Microsoft, até versões descontinuadas, como o Windows XP, receberam o update. Mais como de praxe, muitas corporações ainda não atualizaram seus computadores, prova disso é a facilidade de proliferação do Petrwrap. 

Você também deve ler!

RansomFree, uma ferramenta prática e gratuita para proteção contra ransomware

Kaspersky: 98% dos computadores infectados com o WannaCry rodam o Windows 7

Mesmo carregando uma certa similaridade com o WannaCry, o Petrwap ao invés de criptografar simplesmente alguns arquivos da máquina baseado numa lista de extensões, atua primeiramente criptografando o MFT (Master File Table), deixando o setor MBR do disco, o Master Boot Record, impossibilitado de iniciar o sistema, o que acaba aparecendo é a nota com o passo a passo sobre como (teoricamente) resgatar os arquivos. Além da mensagem aterrorizante (que você pode conferir abaixo), o ransomware exige o pagamento de um resgate de US$ 300, em Bitcoins.

“Caso você esteja lendo este texto, os seus arquivos não estão mais acessíveis, porque foram criptografados. Talvez você esteja ocupado buscando uma forma de recuperá-los, mas não perca o seu tempo. Ninguém pode recuperar os seus arquivos sem os nossos serviços.” 

A ameaça que está se espalhando pelo tradicional spam, já infectou mais de 80 empresas, espalhadas por Rússia, Ucrânia, Unido, Índia, Holanda, Dinamarca, Polônia, Itália, Espanha, Estados Unidos, Argentina, Brasil, Chile, Colômbia e México.

Lista dos países com mais detecções do ransomware Petrwrap (Petya), de acordo com a ESET

Até o momento a Ucrãnia foi a mais prejudicada com o ataque, o Banco Central, Aeroporto Internacional de Boripil, o metrô de Kiev, a companhia de energia, a rede de computadores do governo ucraniano, e até o sistema automatizado de controle de radiação de Chernobyl foram infectados. Zorian Shkiriak, conselheiro ucraniano, disse em uma TV local que “não há dúvida de que a Rússia está por trás de tudo isso”.

Pra completar a situação, aqueles que resolveram pagar o resgate, decisão que não é recomendada em nenhum caso envolvendo ransomware, pode enfrentar outro dilema: os cibercriminosos por trás da ameaça perderam o acesso ao e-mail (wowsmith123456@posteo.net) que eles estavam utilizando para enviar as chaves para a desincriptação, já que o provedor alemão Posteo, bloqueou o acesso.  No caso do Petrwrap, algumas informações apontam que até o momento mais de 30 pagamentos já foram realizados.

Esse é o segundo grande ataque que explora uma vulnerabilidade do Wndows, já corrigida, e que acabou caindo nas mãos dos cibercriminosos devido a um vazamento de informações da NSA, que atribuiu o nome “Eternal Blue”, ao exploit.  Durante o episódio do WannaCry, Brad Smith, presidente da Microsoft, comparou o vazamento dessas informações com algo equivalente a se um míssil Tomahawk fosse roubado. 

A Real Protect, empresa nacional que atua no ramo de segurança da informação, sugere os seguintes passos para evitar o Petrwrap:

– Garanta que os patches de correção estejam aplicados aos sistemas operacionais, especialmente os relacionados ao MS17-010. Para   estações e servidores legados considere a utilização do Virtual Patching.

– Bloqueie a execução do PSEXEC em servidores e estações. Sua ferramenta de controle de aplicação pode ser utilizada para este objetivo.

– Garanta que a solução de IPS esteja com as assinaturas atualizadas e bloqueie todo tráfego ligado ao PETYA e PSEXEC.

– Desabilite o SMBv1

– Garanta que os usuários não utilizem privilégios administrativos locais em suas estações de trabalho

– Mantenha a monitoração do ambiente

Sobre o Autor

Editor-chefe no Hardware.com.br, aficionado por tecnologias que realmente funcionam. Segue lá no Insta: @plazawilliam Elogios, críticas e sugestões de pauta: william@hardware.com.br
Leia mais
Redes Sociais:

Deixe seu comentário

X