Depois da Ucrânia, a Alemanha é o país mais afetado pelo ransomware Petya

Próximo artigo

Estatísticas coligidas até ao final do dia de ontem, dia 29 de Junho, mostram que a difusão do ransomware Petya parece ter sido para já limitada sobretudo à Ucrânia (mais de três quartos das infeções) com a Alemanha logo a seguir – mas apenas com menos de 10% do total das máquinas afetadas. Os dados recolhidos pela ESET, empresa especialista em soluções de segurança informática, mostram percentagens a partir de 100% das máquinas detetadas como tendo sido infetadas em todo o mundo. Países como Portugal, Espanha e o Reino Unido, que foram alguns dos mais afetados durante o recente ataque com o ransomware WannaCry, surgem agora fora do mapa dos mais afetados. A haver casos de máquinas infetadas nestas regiões, eles não são (para já) estatisticamente significativos.

Uma das razões para isto pode dever-se ao facto de o primeiro ataque com o WannaCry bem como o seu grande mediatismo, ter levado a que muitas das máquinas até então vulneráveis tenham entretanto sido protegidas – quer por “patches” da Microsoft, quer também com soluções de segurança mais proativas.

Paciente zero

Investigadores da ESET localizaram o ponto a partir do qual a nova “epidemia” mundial de ransomware originou: uma empresa de software ucraniana chamada M.E.Doc, cujo software de contabilidade é muito popular e usado em diferentes setores económicos da Ucrânia, incluindo instituições financeiras. A partir deste ponto inicial, vários utilizadores executaram uma atualização infetada do software M.E.Doc, a qual permitiu aos atacantes lançarem uma campanha maciça de ransomware que se espalhou rapidamente pelo país.

Entretanto, a ESET determinou também que o pagamento não terá qualquer resultado, uma vez que a Bitcoin “Wallet ID” e respetiva “Personal Instalation Key” foram desabilitadas na origem pelo provedor. Os utilizadores afetados não deverão por isso pagar o resgate uma vez que não serão capazes depois de receber a chave de desencriptação.

É possível verificar se o seu computador se encontra protegido contra esta vulnerabilidade através de uma ferramenta gratuita fornecida pela ESET aqui: support.eset.com/kb6481/.

A ESET informa também que, neste caso específico, desligar o PC e não o voltar a ligar pode prevenir a encriptação do disco muito embora vários ficheiros possam já ter sido encriptados após a substituição do MBR e depois de outras tentativas de ataque através da rede local.

O que é o ransomware NotPetya?

O novo ataque de ransomware à escala internacional começou no dia 27 de junho, terça-feira, e está aparentemente relacionado com a família “Petya”, que é atualmente detetada pela ESET como Win32/Diskcoder.C Trojan, a qual é tecnicamente baseado no mesmo tipo de vulnerabilidade do recente ataque de ransomware popularmente conhecido por WannaCry. Este ransomware surge por vezes também identificado como “NotPetya” – porque, apesar de estar relacionado com a família de malware com o mesmo nome, é diferente.

Ao contrário do recente WannCry, o malware Petya não se limita a encriptar os ficheiros do utilizador: ataca o chamado “Master Boot Record” – uma parte essencial do sistema que contém informações acerca das partições do disco rígido e que é essencial para que o sistema operativo seja carregado. Se o malware conseguir infetar com sucesso a MBR, encripta todo o disco; caso contrário, encripta todos os ficheiros.

Importa salientar que apenas é necessário que haja um computador sem proteção numa determinada rede para que esta ameaça consiga penetrar em toda a infraestrutura. Posteriormente, o malware pode obter privilégios de administração e espalhar-se a outros computadores.

Nuno Mendes, CEO da WhiteHat, representante em Portugal da ESET, referiu a propósito que “esta ou outras vagas de ataques podem ser potencialmente bloqueadas de forma proativa implementando uma solução de segurança anti-malware com protecção multi-camada (serviço de reputação na Cloud, regras de HIPS para prevenção de execução de aplicações em pastas temporárias, análise avançada heurística, filtragem de conteúdos web, anti-spam, deteção de malware gerado em memória, entre outros) nunca descurando a atualização dos sistemas”, concluiu Nuno Mendes.