{"id":9204,"date":"2017-06-27T22:20:12","date_gmt":"2017-06-27T19:20:12","guid":{"rendered":"https:\/\/www.kaspersky.com.br\/blog\/?p=9204"},"modified":"2020-05-20T14:44:43","modified_gmt":"2020-05-20T17:44:43","slug":"new-ransomware-epidemics","status":"publish","type":"post","link":"https:\/\/www.kaspersky.com.br\/blog\/new-ransomware-epidemics\/9204\/","title":{"rendered":"Como se proteger da nova onda global de ransomware"},"content":{"rendered":"<p>Apenas algumas horas atr\u00e1s, um surto global de resgate come\u00e7ou, e parece ser t\u00e3o grande quanto o <a href=\"https:\/\/www.kaspersky.com.br\/blog\/wannacry-for-b2b\/7324\/\" target=\"_blank\" rel=\"noopener\">WannaCry<\/a>.<\/p>\n<p>Essas poucas horas foram suficientes para v\u00e1rias grandes empresas de diferentes pa\u00edses para reportar infec\u00e7\u00e3o, e a magnitude da epidemia provavelmente aumentar\u00e1 ainda mais.<\/p>\n<p>Ainda n\u00e3o est\u00e1 claro o que \u00e9 exatamente o novo ransomware. Alguns pensaram ser alguma varia\u00e7\u00e3o de Petya (seja Petya.A, <a href=\"https:\/\/www.kaspersky.com.br\/blog\/petya-decryptor\/6161\/\" target=\"_blank\" rel=\"noopener\">Petya<\/a>.D, ou <a href=\"https:\/\/securelist.com\/petrwrap-the-new-petya-based-ransomware-used-in-targeted-attacks\/77762\/\" target=\"_blank\" rel=\"noopener\">PetrWrap<\/a>), ou que poderia ser o pr\u00f3prio WannaCry (n\u00e3o \u00e9). Nossos especialistas est\u00e3o investigando essa nova amea\u00e7a, e, assim que encontrarem fatos s\u00f3lidos, atualizaremos essa publica\u00e7\u00e3o.<\/p>\n<p>O novo surto parece ser um ataque complexo que envolve v\u00e1rios vetores de ataque. Podemos confirmar que um <a href=\"https:\/\/www.kaspersky.com.br\/blog\/exploits-problem-explanation\/6010\/\" target=\"_blank\" rel=\"noopener\">exploit<\/a> modificado chamado EternalBlue est\u00e1 sendo usado para propaga\u00e7\u00e3o em redes corporativas. Veja <a href=\"https:\/\/securelist.com\/schroedingers-petya\/78870\/\" target=\"_blank\" rel=\"noopener\">mais dados t\u00e9cnicos<\/a> sobre o ataque.<br>\n<img decoding=\"async\" class=\"alignnone size-large\" src=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/86\/2017\/06\/27184357\/wannamore-ransomware-screenshot-1024x596.jpg\" width=\"1024\" height=\"596\"><\/p>\n<p>Nossos produtos detectam a amea\u00e7a como:<\/p>\n<ul>\n<li>UDS: DangerousObject.Multi.Generic<\/li>\n<li>Trojan-Ransom.Win32.ExPetr.a<\/li>\n<li>HEUR: Trojan-Ransom.Win32.ExPetr.gen<\/li>\n<\/ul>\n<p>Nosso mecanismo de detec\u00e7\u00e3o de comportamento SystemWatcher detecta a amea\u00e7a como:<\/p>\n<ul>\n<li>PDM: Trojan.Win32.Generic<\/li>\n<li>PDM: Exploit.Win32.Generic<\/li>\n<\/ul>\n<p>Na maioria dos casos at\u00e9 agora, a Kaspersky Lab detectou proativamente o vetor de infec\u00e7\u00e3o inicial atrav\u00e9s do seu motor de comportamento, o System Watcher. Tamb\u00e9m estamos trabalhando na melhoria de detec\u00e7\u00e3o anti-ransomware comportamental para detectar proativamente novas vers\u00f5es futuras.<\/p>\n<p>Os especialistas da Kaspersky Lab continuar\u00e3o a examinar o problema para determinar se \u00e9 poss\u00edvel descriptografar dados bloqueados no ataque \u2013 com a inten\u00e7\u00e3o de desenvolver uma ferramenta de descriptografia assim que poss\u00edvel.<\/p>\n<p>Recomendamos que todas as empresas atualizem seu software Windows: os usu\u00e1rios do Windows XP e Windows 7 podem se proteger instalando o patch de seguran\u00e7a MS17-010.<\/p>\n<p>Tamb\u00e9m recomendamos que todas as organiza\u00e7\u00f5es fa\u00e7am backup. Um backup adequado e oportuno de seus dados pode ser usado para restaurar arquivos originais ap\u00f3s um evento de perda de dados.<\/p>\n<p><strong>Clientes corporativos da Kaspersky Lab tamb\u00e9m s\u00e3o aconselhados a:<\/strong><\/p>\n<ul>\n<li>Verifique se todos os mecanismos de prote\u00e7\u00e3o est\u00e3o ativados conforme recomendado; E que os componentes KSN e System Watcher (que s\u00e3o ativados por padr\u00e3o) n\u00e3o est\u00e3o desativados.<\/li>\n<li>Como uma medida adicional para clientes corporativos \u00e9 usar o Controle de Privil\u00e9gio de Aplicativos para negar qualquer acesso (e, portanto, possibilidade de intera\u00e7\u00e3o ou execu\u00e7\u00e3o) para todos os grupos de aplicativos ao arquivo com o nome \u201cperfc.dat\u201d e o utilit\u00e1rio PSexec (parte do O Sysinternals Suite) (<a href=\"https:\/\/help.kaspersky.com\/KESWin\/10SP2\/en-US\/39265.htm\" target=\"_blank\" rel=\"noopener nofollow\">https:\/\/help.kaspersky.com\/KESWin\/10SP2\/en-US\/39265.htm<\/a> e <a href=\"http:\/\/support.kaspersky.com\/10905#block1\" target=\"_blank\" rel=\"noopener\">http:\/\/support.kaspersky.com\/10905#block1<\/a>)<\/li>\n<li>Voc\u00ea pode alternativamente usar o componente Controle de Inicializa\u00e7\u00e3o de Aplicativos (<a href=\"https:\/\/help.kaspersky.com\/KESWin\/10SP2\/en-US\/129102.htm\" target=\"_blank\" rel=\"noopener nofollow\">https:\/\/help.kaspersky.com\/KESWin\/10SP2\/en-US\/129102.htm<\/a>) do Kaspersky Endpoint Security para bloquear a execu\u00e7\u00e3o do utilit\u00e1rio PSExec (parte do Sysinternals Suite), mas use o Controle de Privil\u00e9gio de Aplicativos para bloquear o \u201cperfc.dat\u201d.<\/li>\n<li>Configure e ative o modo de Recusa Padr\u00e3o do componente Controle de Inicializa\u00e7\u00e3o da Aplica\u00e7\u00e3o do Kaspersky Endpoint Security para garantir e refor\u00e7ar a defesa proativa contra isso e outros ataques.<\/li>\n<\/ul>\n<p>Se voc\u00ea n\u00e3o possui produtos da Kaspersky Lab no seu dispositivo \u2013 use o recurso AppLocker do sistema operacional Windows para desativar a execu\u00e7\u00e3o de qualquer arquivo que carregue o nome \u201cperfc.dat\u201d, bem como o utilit\u00e1rio PSExec do Sysinternals Suite.<\/p>\n<p>De acordo com uma <a href=\"https:\/\/motherboard.vice.com\/en_us\/article\/new8xw\/hacker-behind-massive-ransomware-outbreak-cant-get-emails-from-victims-who-paid\" target=\"_blank\" rel=\"noopener nofollow\">reportagem<\/a>, o provedor de email alem\u00e3o Posteo cancelou o e-mail que deveria ser usado pelas v\u00edtimas para contatar os hackers, confirmar as transa\u00e7\u00f5es de bitcoin e receber chaves de descriptografia. Isso significa que as v\u00edtimas que desejam pagar os criminosos n\u00e3o podem mais recuperar seus arquivos. De toda forma, a Kaspersky Lab <a href=\"https:\/\/www.kaspersky.com.br\/blog\/marion-nomoreransom-story\/7157\/\" target=\"_blank\" rel=\"noopener\">n\u00e3o recomenda<\/a> o pagamento do resgate.<\/p>\n<h3>Atualiza\u00e7\u00e3o<\/h3>\n<p>A an\u00e1lise de nossos especialistas indica que nunca houve muita esperan\u00e7a de as v\u00edtimas recuperarem seus dados.<\/p>\n<p>Nossos pesquisadores analisaram o c\u00f3digo do malware e determinaram que, ap\u00f3s a criptografia do disco, o autor do v\u00edrus n\u00e3o conseguir\u00e1 decifrar os discos das v\u00edtimas. Para isso, precisam do ID da instala\u00e7\u00e3o. Em vers\u00f5es anteriores de ransomware semelhantes, como Petya\/Mischa\/GoldenEye, essa ID continha as informa\u00e7\u00f5es necess\u00e1rias para a recupera\u00e7\u00e3o de chaves.<\/p>\n<p>J\u00e1 o ExPetr (tamb\u00e9m conhecido como NotPetya) n\u00e3o possui essa identifica\u00e7\u00e3o, significando que os cibercriminosos n\u00e3o podem extrair as informa\u00e7\u00f5es necess\u00e1rias para o desencripto. Em suma, as v\u00edtimas jamais v\u00e3o recuperar seus dados.<\/p>\n<input type=\"hidden\" class=\"category_for_banner\" value=\"kis-trial-ransomware\">\n","protected":false},"excerpt":{"rendered":"<p>Nova epidemia atinge usu\u00e1rios e companhias em todo mundo; clientes Kaspersky est\u00e3o protegidos, mas \u00e9 preciso ter alguns recursos ativados<\/p>\n","protected":false},"author":40,"featured_media":9205,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[1260,14],"tags":[932,83,1154],"class_list":{"0":"post-9204","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-threats","8":"category-news","9":"tag-petya","10":"tag-ransomware","11":"tag-wannacry"},"hreflang":[{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/new-ransomware-epidemics\/9204\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/new-ransomware-epidemics\/8698\/"},{"hreflang":"ar","url":"https:\/\/me.kaspersky.com\/blog\/new-ransomware-epidemics\/4712\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/new-ransomware-epidemics\/11710\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/new-ransomware-epidemics\/11249\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/new-ransomware-epidemics\/10732\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/new-ransomware-epidemics\/13581\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/new-ransomware-epidemics\/13641\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/new-ransomware-epidemics\/17855\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/new-ransomware-epidemics\/3319\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/new-ransomware-epidemics\/17314\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/new-ransomware-epidemics\/9226\/"},{"hreflang":"pl","url":"https:\/\/plblog.kaspersky.com\/new-ransomware-epidemics\/6963\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/new-ransomware-epidemics\/16631\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/new-ransomware-epidemics\/17314\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/new-ransomware-epidemics\/17314\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.com.br\/blog\/tag\/ransomware\/","name":"ransomware"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/9204","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/users\/40"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/comments?post=9204"}],"version-history":[{"count":10,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/9204\/revisions"}],"predecessor-version":[{"id":15340,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/9204\/revisions\/15340"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/media\/9205"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/media?parent=9204"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/categories?post=9204"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/tags?post=9204"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}