Assistiu-se hoje a um novo ataque de ransomware à escala mundial, semelhante no impacto e mediatismo ao verificado no passado mês que ficou conhecido por WannaCry. Este novo malware, batizado como PetrWrap, é uma evolução de um outro que afetou sistemas um pouco por todo o mundo em 2016 denominado como Petya.   

 

Similarmente ao WannaCry, caracteriza-se por impedir o acesso ao computador e dados nele existentes, bem como de outros por ele acessíveis, exigindo um resgate a ser pago em BitCoin (300US$). Adicionalmente, e ainda de forma semelhante ao WannaCry, usa uma vulnerabilidade existente em sistemas Microsoft não atualizados para se propagar e infetar redes inteiras de organizações.

 
Como se distribui ?

O aspeto diferenciador deste malware relativamente ao WannaCry é que também usa mensagens de correio-electrónico armadilhadas, especificamente formatadas, para infetar computadores.  

 

Os anexos incluídos nas mensagens de correio-electrónico usam uma vulnerabilidade crítica do Microsoft Office (CVE-­2017-­0199 Office RTF vulnerability) para fazer download do instalador do Petya a partir da Internet e execução da propagação da infeção a toda a rede como mencionado.

 

Um aspeto altamente relevante desta vulnerabilidade é que não depende de qualquer ação indevida dos utilizadores para ser explorada, bastando que estes “abram” o documento usando o   Word ou Wordpad para propiciar a infeção.

 

Como se manifesta ?

Este malware é mais agressivo que o WannaCry dado cifrar o MFT (Master File Tree) e substituir o MBR (Master Boot Record) com um bootloader próprio, não se limitando a cifrar apenas ficheiros específicos. 

 

Basicamente, toma controlo total da máquina, apresentando apenas a nota de resgate e impedindo o arranque normal do equipamento.      
     

 

 

Como lidar com o problema ?

A inibição da infeção através de mensagens de correio-electrónico é possível pela aplicação de um patch (correção) disponibilizado pela Microsoft (CVE-­2017-­0199) em 11 de abril de 2017.

A inibição da propagação do malware é possível pela aplicação de um patch disponibilizada pela Microsoft (CVE-­2017-­0144) em março de 2017. 

 

Organizações que tenham aplicado o segundo patch em larga escala verão apenas afectados os computadores onde os anexos de mensagens de correio-electrónico supra-­‐mencionadas sejam acedidos pelos utilizadores e o primeiro dos patches acima indicados não tenha sido aplicado.

 

Recomenda-se o patching das duas vulnerabilidades assim que possível. Se devido a riscos de compatibilidade com outros software instalados tal não for possível, devem ser tomadas medidas de mitigação complementares dado serem vulnerabilidades que serão certamente exploradas por outros atores no curto e médio-prazo.

 

Ao contrário do WannaCry, não parece existir um killswitch que, se ativado, impeça posteriores infeções e/ou propagações do malware.

 

Qual o impacto causado ?

Entre os países mais afetados encontram-­se a Ucrânia, Rússia, Reino Unido, Irlanda, Espanha, França, Dinamarca e Índia, com especial relevância para o primeiro.

 

Entre os sectores mais afetados encontram-se os seguintes:

  • Petróleo;
  • Gasolineiras;
  • Banca;
  • Administração Pública;
  • Elétricas;
  • Transportes;
  • Transportes aéreos;
  • Aeroportos;
  • Ferrovias Urbanas;
  • Construção Civil;
  • Publicidade;
  • Empresas de Alojamento.


 


Embora a S21sec esteja a investigar o malware com recurso a meios próprios e ao seu laboratório forense, muitos dos pontos anteriores não foram corroborados por si própria, sendo reflexo de observações realizadas em vários fóruns e outras empresas, tipicamente fabricantes de soluções anti-­malware, do setor como é o caso da CheckPoint e da Kaspersky.        

 

Como é usual, e porque já não é a primeira vez que é usada uma vulnerabilidade dos produtos Microsoft, é aconselhável que os sistemas Windows estejam devidamente atualizados, assim como as soluções de segurança instaladas nos computadores.

Classifique este item
(0 votos)
Ler 1628 vezes Modificado em Jun. 27, 2017

Sobre nós

Nascida em 2002, a Wintech é uma pagina web que reúne informações sobre tecnologia. Apresenta regularmente guias, análises, reportagens e artigos especiais de tudo o que rodeia o mundo tecnológico. Saiba mais.

Apoiamos

Gled Agra X Streamer @ Facebook

Newsletter

Receba as notícias no seu e-mail

Top