Ataques foram registrados principalmente na Ucrânia, Rússia, Espanha e França, mas também há registros no Brasil. Novo ransomware explora a mesma falha usada pelo WannaCry, que já havia sido corrigida pela Microsoft meses atrás. Atualizado com um método para evitar que o ransomware criptografe os arquivos.
Conforme informações da Kaspersky, ainda não está claro se o novo ransomware é uma variação do Petya ou não. Certo mesmo é que ele usa a mesma falha no servidor SMB do Windows que foi explorada pelo WannaCry, cuja correção foi disponibilizada pela Microsoft inclusive para os Windows sem suporte como o XP e o Vista.
O ransomware exige o pagamento de 300 trumps em bitcoins para fornecer a chave de descriptografia dos arquivos. Porém há um pequeno detalhe: o provedor alemão Posteo, cujo serviço foi utilizado pelos crackers para criar o e-mail de contato, informou que desabilitou o endereço em questão depois de tomar ciência do ocorrido. Ou seja, mesmo quem se dispor a pagar o resgate não terá como recuperar os arquivos.
Os ataques até o momento concentram-se principalmente na Europa, porém há registros de computadores afetados também no Brasil no interior de São Paulo. Infelizmente a tendência é que o ransomware espalhe-se muito mais.
Diante de mais este ataque, dois fatos ficam claros:
- Muitos administradores de TI continuam relapsos quanto às atualizações de sistema.
- A melhor forma de se precaver, além de deixar o sistema operacional sempre atualizado, é manter vários níveis de backup inclusive em dispositivos desconectados da Internet e rede local.
Fica o alerta, pois certamente este ataque não será o último.
EDIT 29/06/2017: método para evitar que os arquivos sejam criptografados
Conforme noticiado por diversos analistas de segurança, criar os arquivos perfc, perfc.dat e perfc.dll como somente leitura na pasta C:\Windows evita que os arquivos do disco sejam criptografados, muito embora não evite que o PC seja contaminado. O Petya/NotPetya verifica se existem tais arquivos na pasta do sistema e caso os encontre o processo de criptografia não é iniciado.
Comentários
Postar um comentário