Um ataque em grande escala causado por uma variante do ransomware Petya vem atingindo vários usuários, em especial na Europa. A Trend Micro detectou esta ameaça como RANSOM_PETYA.SMA, conhecida por usar o exploit EternalBlue e a ferramenta PsExec como vetores de infecção.
Os usuários e organizações são aconselhados a imediatamente tomar as seguintes medidas de mitigação para prevenir e evitar a infecção:
· Aplique a correção de segurança MS17-010;
· Desative a entrada TCP 445;
· Restrinja contas com acesso de grupo de administrador
Fluxo da Infecção
Como dito anteriormente, a entrada inicial do ransomware no sistema envolve o uso da ferramenta PsExec, um aplicativo oficial da Microsoft usado para executar processos em sistemas remotos.
O ransomware também usa o exploit EternalBlue – visto em ação no ataque WannaCry – que ataca uma vulnerabilidade no Server Message Block (SMB) v1.
Depois de acessar o sistema, esta variante Petya usa o processo rundll32.exe e a criptografia é então executada por um arquivo chamado perfc.dat, localizado na pasta do Windows.
O ransomware então adiciona uma tarefa agendada, que, após uma hora, reinicia o sistema.
Enquanto isso, o Master Boot Record (MBR) é também modificado para que o atacante execute a criptografia e, assim, o bilhete de resgate seja exibido. Uma notificação falsa do CHKDSK é exibida e é nesse momento que a criptografia é efetivamente executada.
Diferente de outros ransomwares, esta variante do PETYA não altera as extensões de nenhum arquivo criptografado. Mais de 60 extensões de arquivo são direcionadas para criptografia.
É importante notar que as extensões visadas focam em tipos de arquivos usados em configurações corporativas. Imagens e arquivos de vídeo (visados em outros ataques de ransomware) estão notavelmente ausentes.
Além do uso do exploit EternalBlue, há outras semelhanças com o WannaCry. Em comum, o processo de resgate desta variante do Petya é relativamente simples: ele também usa um endereço de Bitcoin com código definitivo (hardcode), fazendo com que o processo de descriptografar seja muito mais trabalhoso para os criminosos.
Isso difere dos ataques anteriores do Petya, que tinham UIs mais desenvolvidas para esse processo. O pedido de resgate por usuário é de US$ 300 dólares. Até o momento, cerca de US$ 7.500 dólares foram pagos no endereço Bitcoin.
Como em todos os ataques de ransomware, a Trend Micro não recomenda o pagamento do resgate – ainda mais neste caso, tendo em vista que o provedor de email da vítima é bloqueado. Então mesmo que o alvo queira responder ao atacante dizendo que pagou o resgate, ele não consegue estabelecer a comunicação, pois a conta é inteiramente bloqueada.
