O que é ransomware Petya e NotPetya?
O ransomware Petya começou a se espalhar internacionalmente em 27 de junho de 2017. Destinado a servidores Windows, PCs e laptops, esse ataque cibernético parecia ser uma variante atualizada do vírus malware Petya. Ele usava a vulnerabilidade do Server Message Block que o WannaCry empregava para se espalhar para dispositivos sem patch, bem como uma técnica de roubo de credenciais, para se espalhar para máquinas não vulneráveis. O Petya foi um ataque cibernético global sentido em todo o mundo, mas que teve como alvo principal a Ucrânia em junho de 2017.
Como o vírus Petya se espalha e infecta dispositivos?
O Petya explora a vulnerabilidade CVE-2017-0144 na implementação da Microsoft do protocolo Server Message Block. Depois de explorar a vulnerabilidade, esse ataque criptografa o registro mestre de inicialização, entre outros arquivos. Ele envia uma mensagem ao usuário para realizar uma reinicialização do sistema, após a qual o sistema fica inacessível. Isso torna o sistema operacional incapaz de localizar arquivos e não há como descriptografar os arquivos, o que torna o Petya um limpador, e não um ransomware, como se acreditava inicialmente.
A nova variante aumentou ainda mais seus recursos adicionando um mecanismo de propagação semelhante ao que vimos no WannaCry em maio de 2017. Um conjunto de patches críticos foi lançado pela Microsoft em 14 de março para remover a vulnerabilidade subjacente em versões compatíveis do Windows, mas muitas organizações podem ainda não ter aplicado esses patches.
Como posso me proteger do Petya?
A melhor maneira de se proteger do Petya é adotando medidas proativas. Diz-se que o vírus Petya se espalha por e-mails de phishing ou spam. Portanto, verifique se o conteúdo do e-mail é legítimo. Passe o mouse sobre um link e veja se ele direciona para um URL confiável. Ou, se você não tiver certeza sobre o conteúdo ou a origem de um e-mail, faça uma pesquisa online rápida e procure outras instâncias dessa campanha e o que essas instâncias podem dizer sobre a legitimidade do e-mail. Você também deve fazer um backup completo do seu dispositivo. Se uma máquina for infectada com o vírus Petya, os dados poderão se tornar irrecuperáveis. Você pode fazer backup dos dados armazenados em um disco rígido externo, na nuvem ou em outra opção de armazenamento de terceiros. E o mais importante, sempre aplique atualizações de sistemas e aplicativos assim que estiverem disponíveis, pois o Petya, e ataques semelhantes, dependem de vulnerabilidades não corrigidas para violar sistemas.
Qual é a diferença entre Petya e NotPetya?
O malware Petya já existe há algum tempo. O ataque de junho de 2017 lançou uma nova variante. Alguns chamam essa variante de NotPetya devido a alterações no comportamento do malware. O Petya e o NotPetya usam chaves diferentes para criptografia e têm estilos de reinicialização, exibições e notas exclusivos. No entanto, ambos são igualmente destrutivos.
O histórico e a evolução do Petya ransomware
O Petya foi descoberto em março de 2016 por pesquisadores de segurança que observaram que, embora o malware tivesse atingido menos infecções do que outras cepas ativas no momento, o vírus ainda era único em sua operação, alertando muitos no setor para ficarem atentos ao ataque avançado. Mais tarde, em 2016, surgiu outra variante do Petya que continha um recurso adicional a ser usado se o vírus não pudesse obter acesso de administrador a uma máquina.
Avançando para junho de 2017, a mais recente variedade do Petya surgiu, derrubando organizações do mundo todo em questão de horas. Os recursos atualizados da nova variante fizeram com que alguns profissionais de segurança dessem ao vírus o nome de NotPetya.
O que devo fazer a seguir?
Se você já tomou as medidas proativas descritas acima, deverá estar protegido contra o Petya/NotPetya. Se você foi impactado pelo Petya ou outro tipo de ransomware, acesse NoMoreRansom.org. E lembre-se, nunca pague o resgate: se estiver lidando com o Petya, você não receberá seus arquivos de volta.