O ransomware Petya-esque está se espalhando por todo o mundo

postado em: Notícia, Segurança | 0

UPDATE 29/06/2017 1045 PST : De acordo com informações descobertas no Malwarebytes Labs, determinamos que esta variante ransomware é codificada para apagar uma chave gerada aleatoriamente e que é usada para criptografar o MFT (Master File Table). A destruição da tecla Salsa20 torna muito improvável que os usuários possam receber uma chave de descriptografia de trabalho – mesmo depois de pagar as demandas de resgate dos atacantes. Por esse motivo, avisamos qualquer usuário infectado que esteja pensando em pagar o resgate para se certificar. Criamos uma nova entrada no blog Malwarebytes com as informações recém-descobertas: EternalPetya e a chave Salsa20 perdida

UPDATE 27/06/2017 1653 PST : Com base em informações divulgadas por pesquisadores de segurança, uma empresa de software de contabilidade ucraniana chamada Me Doc fez uma atualização em torno das 10:30 GMT desta manhã, que instalou o malware no sistema “vítima zero”. Em seguida, usando uma mistura de PSExec, WMI e EternalBlue, foi capaz de se espalhar para todos os outros computadores na rede. Me Doc afirmou que este não é o caso; No entanto, não podemos confirmar completamente que essa foi a fonte do vetor de infecção original.

Neste ponto, seria uma boa idéia (se você estiver executando algum software do Me Doc) para não atualizar o referido software até que eles anunciaram que seus servidores estão limpos.

UPDATE 27/06/2017 1515 PST : os pesquisadores descobriram o que poderia ser uma “vacina” para a versão atual do renegún de Petya-esque . Você pode dar uma chance e ver se isso funciona para você, mas tenha em mente que, basicamente, assim que o artigo vinculado foi criado, os criadores deste ataque provavelmente já modificaram sua fonte para negar a defesa. Boa sorte!

UPDATE 27/06/2017 1430 PST: Se você está pensando em pagar o resgate por esta ameaça – não incomode. O serviço de e-mail que hospedou o endereço que as vítimas foram instruídas a enviar o pagamento fechou a conta . Então, neste momento, tentar pagar o resgate resultará em um e-mail retornado. Infelizmente, a recuperação de arquivos de pagamento já não é possível no momento, os atacantes podem fornecer às suas vítimas formas alternativas de transações de pagamento.

Tocando com ecos do WanaCrypt0r, uma nova camada de ransomware chamada Petya / NotPetya está afetando usuários em todo o mundo, fechando empresas na Ucrânia, Grã-Bretanha e Espanha.

Background

A Petya , criada em julho de 2016, começou como uma das variedades de ransomware da próxima geração que utiliza um armário MBR (Master Boot Record). Nos primeiros dias do ransomware, as tensões que modificavam o arranque de um sistema eram populares, mas morreram por muitos anos. Hoje, pouco depois do aniversário de um ano, a Petya voltou com uma vingança e um novo e desagradável novo método de distribuição.

Quanto a saber se este malware é o mesmo Petya que lidamos com o passado, muitos outros pesquisadores, incluindo o nosso , afirmam que o malware é fortemente influenciado e provavelmente desenvolvido pelos criadores da Petya. Este malware possui indicadores e códigos que correspondem às versões anteriores do Petya, mas com funcionalidades adicionais.

Não vamos reivindicar a atribuição nem mesmo confirmar a família com a qual estamos lidando até mais uma análise ter sido concluída e mais provas disponíveis. O que podemos dizer com certeza é que este ransomware usa táticas raramente vistas na natureza.

Vetor de infecção

Tirando uma página do livro de WannaCry, este novo sistema de ransomware utiliza o mesmo recurso EternalBlue SMB que foi usado no surto que ocorreu há mais de um mês. Existem também relatórios de que este ataque usa spam de e-mail para distribuir documentos do Office infectados em esforços para espalhar e distribuir rapidamente o ransomware. Este malware também inclui a capacidade de usar o PSExec em um sistema com credenciais administrativas, permitindo que ele execute duplicatas do malware em qualquer sistema na rede.

No entanto, nem todos esses relatórios foram confirmados pela equipe do Malwarebytes, portanto, seu verdadeiro vetor de infecção original além da exploração de SMB está no ar. Mas a combinação do método PSExec com a exploração EternalBlue dá a este malware muita força na sua capacidade de se espalhar por uma rede.

Execução

Após a execução, o ransomware infecta o sistema em um nível baixo, modificando o MBR e apresentando ao usuário o seguinte prompt:

Após uma reinicialização, em vez de carregar no sistema operacional instalado no computador, o usuário é confrontado com uma operação falso Check Disk que, ao invés de realmente verificar o seu disco rígido para problemas, está realmente criptografando arquivos! Sabemos que esta é uma tela falsa baseada em strings encontrados no próprio malware:

Isso é feito para comprar o Ransomware mais tempo para criptografar todos os arquivos relevantes no sistema sem ser interrompido pelo usuário.

O MFT (Master File Table) e o MBR também são criptografados. O MBR é substituído para exibir a nota de resgate, o que torna impossível iniciar o sistema sem remediação – o que significa que os usuários devem pagar o culpado ou não conseguir acessar seu sistema. O computador exibirá então uma tela negra ameaçadora com letras vermelhas listando o propósito do ransomware e suas demandas. O ataque afeta os usuários criptografando em qualquer lugar de um único arquivo para todo o sistema.

Embora esta situação possa ter sido facilmente evitada simplesmente mantendo atualizadas todas as atualizações de banco de dados e atualizações de antivírus, os usuários agora infectados devem pagar US $ 300 em Bitcoins para recuperar o acesso aos seus arquivos.

Conforme afirmado no Twitter pela @ydklijnsma , parece que os tipos de arquivo que estão sendo direcionados visam mais os programas que os desenvolvedores usariam, como .vbs, .ova, .vbox e assim por diante. Isso faz com que pareça alvo desses ataques são prováveis ​​empresas e especialmente empresas que se especializam em desenvolvimento de software.

Infelizmente, ao contrário de WannaCry, Petya Não tem um “killswitch” prontamente disponível ou conhecido. Tem uma “vacina” que poderia potencialmente funcionar para parar a infecção, embora nossos próprios testes tenham mostrado que, em muitos casos, não. Os sistemas do Windows 10 parecem ter uma chance de lutar usando este método, mas com base em nossos testes, o Windows 7 fica infectado toda vez.

Proteção de zero-hora

Malwarebytes detectou este ransomware na hora zero, o que significa que aqueles que têm Malwarebytes Premium ou nossa tecnologia anti-ransomware independente  foram protegidos desde o instante em que este ataque começou. Tanto os usuários comerciais do Malwarebytes quanto os consumidores estão protegidos se estiverem usando a versão mais recente dos produtos acima.

Detectamos esse Ransomware como Ransom.Petya ou Ransom.Petya.EB

A proteção total dessa ameaça também pode ser alcançada por:

  • Atualizando e implementando software de segurança com recursos anti-ransomware
  • Atualizando e protegendo sistemas operacionais em sua rede, incluindo a verificação de qualquer porta SMB aberta em qualquer sistema voltado para a internet
  • Bloqueando contas de usuários de poderes administrativos e, possivelmente, mesmo removendo / encerrando sistemas de administração que podem utilizar o método PSExec de propagação do malware
  • Se você é proprietário de uma empresa, certificando-se de que seus usuários estão cientes desta ameaça atual
  • Abrir e-mails com um alto grau de escrutínio no futuro próximo

Vamos atualizar regularmente esta publicação para informá-lo sobre os novos desenvolvimentos com este ataque, um olhar mais profundo sobre sua propagação e possíveis motivações / métodos de infecção. Além disso, estamos trabalhando atualmente em uma publicação que analisa o binário do malware no seu núcleo. Espere isso em breve.

Fonte: Malwarebytes