27 jun 2017

Como se proteger da nova onda global de ransomware

Malware Notícias Surto

Apenas algumas horas atrás, um surto global de resgate começou, e parece ser tão grande quanto o WannaCry.

Essas poucas horas foram suficientes para várias grandes empresas de diferentes países para reportar infecção, e a magnitude da epidemia provavelmente aumentará ainda mais.

Ainda não está claro o que é exatamente o novo ransomware. Alguns pensaram ser alguma variação de Petya (seja Petya.A, Petya.D, ou PetrWrap), ou que poderia ser o próprio WannaCry (não é). Nossos especialistas estão investigando essa nova ameaça, e, assim que encontrarem fatos sólidos, atualizaremos essa publicação.

O novo surto parece ser um ataque complexo que envolve vários vetores de ataque. Podemos confirmar que um exploit modificado chamado EternalBlue está sendo usado para propagação em redes corporativas. Veja mais dados técnicos sobre o ataque.

Nossos produtos detectam a ameaça como:

  • UDS: DangerousObject.Multi.Generic
  • Trojan-Ransom.Win32.ExPetr.a
  • HEUR: Trojan-Ransom.Win32.ExPetr.gen

Nosso mecanismo de detecção de comportamento SystemWatcher detecta a ameaça como:

  • PDM: Trojan.Win32.Generic
  • PDM: Exploit.Win32.Generic

Na maioria dos casos até agora, a Kaspersky Lab detectou proativamente o vetor de infecção inicial através do seu motor de comportamento, o System Watcher. Também estamos trabalhando na melhoria de detecção anti-ransomware comportamental para detectar proativamente novas versões futuras.

Os especialistas da Kaspersky Lab continuarão a examinar o problema para determinar se é possível descriptografar dados bloqueados no ataque – com a intenção de desenvolver uma ferramenta de descriptografia assim que possível.

Recomendamos que todas as empresas atualizem seu software Windows: os usuários do Windows XP e Windows 7 podem se proteger instalando o patch de segurança MS17-010.

Também recomendamos que todas as organizações façam backup. Um backup adequado e oportuno de seus dados pode ser usado para restaurar arquivos originais após um evento de perda de dados.

Clientes corporativos da Kaspersky Lab também são aconselhados a:

  • Verifique se todos os mecanismos de proteção estão ativados conforme recomendado; E que os componentes KSN e System Watcher (que são ativados por padrão) não estão desativados.
  • Como uma medida adicional para clientes corporativos é usar o Controle de Privilégio de Aplicativos para negar qualquer acesso (e, portanto, possibilidade de interação ou execução) para todos os grupos de aplicativos ao arquivo com o nome “perfc.dat” e o utilitário PSexec (parte do O Sysinternals Suite) (https://help.kaspersky.com/KESWin/10SP2/en-US/39265.htm e http://support.kaspersky.com/10905#block1)
  • Você pode alternativamente usar o componente Controle de Inicialização de Aplicativos (https://help.kaspersky.com/KESWin/10SP2/en-US/129102.htm) do Kaspersky Endpoint Security para bloquear a execução do utilitário PSExec (parte do Sysinternals Suite), mas use o Controle de Privilégio de Aplicativos para bloquear o “perfc.dat”.
  • Configure e ative o modo de Recusa Padrão do componente Controle de Inicialização da Aplicação do Kaspersky Endpoint Security para garantir e reforçar a defesa proativa contra isso e outros ataques.

Se você não possui produtos da Kaspersky Lab no seu dispositivo – use o recurso AppLocker do sistema operacional Windows para desativar a execução de qualquer arquivo que carregue o nome “perfc.dat”, bem como o utilitário PSExec do Sysinternals Suite.

De acordo com uma reportagem, o provedor de email alemão Posteo cancelou o e-mail que deveria ser usado pelas vítimas para contatar os hackers, confirmar as transações de bitcoin e receber chaves de descriptografia. Isso significa que as vítimas que desejam pagar os criminosos não podem mais recuperar seus arquivos. De toda forma, a Kaspersky Lab não recomenda o pagamento do resgate.

Atualização

A análise de nossos especialistas indica que nunca houve muita esperança de as vítimas recuperarem seus dados.

Nossos pesquisadores analisaram o código do malware e determinaram que, após a criptografia do disco, o autor do vírus não conseguirá decifrar os discos das vítimas. Para isso, precisam do ID da instalação. Em versões anteriores de ransomware semelhantes, como Petya/Mischa/GoldenEye, essa ID continha as informações necessárias para a recuperação de chaves.

Já o ExPetr (também conhecido como NotPetya) não possui essa identificação, significando que os cibercriminosos não podem extrair as informações necessárias para o desencripto. Em suma, as vítimas jamais vão recuperar seus dados.