O “paciente zero” é uma empresa cujo software de contabilidade é muito popular e usado em diferentes setores económicos da Ucrânia, incluindo instituições financeiras, o que ajudou à disseminação da ameaça. Assim, vários utilizadores executaram uma atualização do software M.E.Doc que continha o malware, o que originou que esse país fosse o mais afetado pelo ciberataque.
O ransomware atingiu empresas, além da Ucrânia, na Rússia, Polónia, Itália, Israel, Sérvia, Roménia, EUA, Lituânia e Hungria.
Ao contrário do recente ataque com o WannCry, o malware NoPetya não se limita a encriptar os ficheiros do utilizador, ataca também o chamado “Master Boot Record”, que é essencial para que o sistema operativo seja carregado.
Assim, de acordo com os especialistas da ESET, se o malware conseguir infetar com sucesso a MBR, encripta todo o disco, caso contrário, encripta todos os ficheiros do utilizador.
O NoPetya parece utilizar uma combinação do exploit EternalBlue, o mesmo que foi utilizado pelo WannaCry, para se conseguir infiltrar na rede à qual o computador está ligado, recorrendo posteriormente ao PsExec para se espalhar.
“Estamos novamente perante um repetido fenómeno de ciberataques maciços cujo resultado final é um ataque por ‘ransomware’, onde um número astronómico de máquinas e os seus dados podem ficar reféns até ser pago o valor do resgate – na melhor hipótese acontece a encriptação de ficheiros, sendo que no pior cenário todo o disco é encriptado” afirma Nuno Mendes, CEO da WhiteHat, representante em Portugal da ESET.
A empresa de cibersegurança alertou ainda que o pagamento não terá qualquer resultado, uma vez que a Bitcoin “Wallet ID” foi desabilitada na origem pelo provedor. Os utilizadores afetados não deverão por isso pagar o pedido de resgate uma vez que não serão capazes depois de receber a chave de desencriptação.
“Esta ou outras vagas de ataques podem ser potencialmente bloqueadas de forma proativa implementando uma solução de segurança anti-malware com protecção multi-camada (serviço de reputação na Cloud, regras de HIPS para prevenção de execução de aplicações em pastas temporárias, análise avançada heurística, filtragem de conteúdos web, anti-spam, deteção de malware gerado em memória, entre outros) nunca descurando a atualização dos sistemas”, concluiu o executivo.
Já a Commvault refere que “única defesa fiável contra ataques de ransomware como o Petya é o backup”. Nigel Tozer, diretor de marketing de soluções da empresa, indica que “claramente, os criminosos por detrás deste e de outros ataques recentes continuam um passo à frente do software de deteção de ameaças, pelo que, se os seus sistemas e dados foram sequestrados, a única forma real de os recuperar é poder reverter os dados para a sua última cópia de segurança antes da infeção. Quando os ficheiros são codificados e corrompidos por um ataque de ransomware, a sincronização com a cloud e as ferramentas de partilha são algo em que não se pode confiar, já que a sincronização facilita a infeção dos ficheiros na cloud, tal como acontece aos originais. O outro problema é que estes serviços na nuvem, especialmente os gratuitos ou mais dirigidos a consumidores, não cobrem todos os dados e podem não ter políticas de retenção que precedam o ataque. A melhor opção para estar seguro ante qualquer malware que corrompa os dados é uma solução de backup gerida de forma centralizada. Embora a reversão para a cópia de segurança anterior à infeção possa significar a perda de alguns dados, não é comparável ao impacto de perder toda a informação de forma permanente”.
Certo é que o site Bleeping Computer indica ter encontrado uma forma de impedir que o vírus se espalhe, apesar de não ser uma cura, já é algum remédio. Segundo o tutorial passo a passo, basta criar um ficheiro de leitura com o nome “perfc” na pasta da memória interna do Windows (C:) e o vírus deve parar de operar. Além disso, uma atualização da versão do sistema operativo pode ser suficiente para prevenir o ataque para a maioria do utilizadores infetados.
Para verificar se o seu computador se encontra protegido contra a vulnerabilidade EternalBlue, a ESET disponibilizou uma ferramenta gratuita que pode ser acedida aqui.
A garantia faz parte de uma iniciativa que visa facilitar o acesso ao financiamento a…
O evento pretendeu dar a conhecer insights de especialistas, explorar demonstrações de vanguarda e discutir…
Depois do lançamento da app, o site surge agora com novas funcionalidades e mais transparência…
O Bit2Me STX é uma das primeiras infraestruturas do mercado financeiro blockchain destinada a operar…
Bolsa Jorge de Mello é dirigida a investigadores em Portugal e visa impulsionar a investigação…
O ranking reconhece e destaca o papel crescente das universidades na promoção do empreendedorismo em…