Descoberto o primeiro computador infectado no mais recente ataque de ransomware

Investigadores da ESET, localizaram o ponto a partir do qual a nova “epidemia” mundial de ransomware originou: uma empresa de software de contabilidade ucraniana chamada M.E.Doc. Este “paciente zero”...
Virus_Ontem

Investigadores da ESET, localizaram o ponto a partir do qual a nova “epidemia” mundial de ransomware originou: uma empresa de software de contabilidade ucraniana chamada M.E.Doc. Este “paciente zero” do novo ataque mundial de revelou-se (infelizmente) numa boa escolha para iniciar a infecção, uma vez que é uma empresa cujo software de contabilidade é muito popular e usado em diferentes sectores económicos da Ucrânia, incluindo instituições financeiras.

A partir deste ponto inicial, vários utilizadores executaram uma actualização “trojanizada” do software M.E.Doc, a qual permitiu aos atacantes lançarem ontem uma campanha maciça de ransomware que se espalhou rapidamente pela Ucrânia e já atingiu também empresas e instituições de outros países, nomeadamente – e por ordem de severidade – na Itália, Israel, Sérvia, Roménia, EUA, Lituânia e Hungria.

Entretanto, a ESET conseguiu determinar também que o pagamento não terá qualquer resultado, uma vez que a Bitcoin “Wallet ID” e respetiva “Personal Instalation Key” foram desligadas. Os utilizadores afectados não deverão por isso pagar o pedido de resgate uma vez que não serão capazes depois de receber a chave de desencriptação.

É possível verificar se o seu computador se encontra protegido contra esta vulnerabilidade através de uma ferramenta gratuita fornecida pela ESET aqui.

O que é o ransomware NotPetya?

O novo ataque de ransomware à escala internacional começou no dia 27 de Junho, Terça-Feira, e está aparentemente relacionado com a família “Petya”, que é actualmente identificada pelo antivirus da ESET como Win32/Diskcoder.C Trojan, a qual é tecnicamente baseada no mesmo tipo de vulnerabilidade no sistema operativo Windows usada no recente ataque de ransomware popularmente conhecido por WannaCry. Este ransomware surge por vezes também identificado como “NotPetya” – porque, apesar de estar relacionado com a família de malware com o mesmo nome, é diferente.

Ao contrário do recente WannaCry, o malware Petya não se limita a encriptar os ficheiros do utilizador: ataca o chamado “Master Boot Record” – uma parte essencial do sistema que contém informações acerca das partições do disco rígido e que é essencial para que o sistema operativo seja carregado. Se o malware conseguir infectar com sucesso a MBR, encripta todo o disco; caso contrário, encripta todos os ficheiros.

Para se espalhar, este malware parece utilizar uma combinação de um “exploit” SMB (EternalBlue), o mesmo que foi utilizado pelo WannaCry, para se conseguir infiltrar na rede à qual o computador está ligado, e recorre posteriormente ao PsExec para se espalhar. Esta combinação perigosa pode ser o motivo pelo qual esta ameaça se está a disseminar a nível global e tão rapidamente, mesmo depois dos outros ataques terem merecido uma cobertura mediática tão grande e de muitas vulnerabilidades terem sido corrigidas.

A ESET informa também que, neste caso específico, desligar o PC e não o voltar a ligar pode prevenir a encriptação do disco muito embora vários ficheiros possam já ter sido encriptados após a substituição do MBR e depois de outras tentativas de ataque através da rede local.

Categorias
NotíciasSegurança

Sou director da PCGuia há alguns anos e gosto de tecnologia em todas as suas formas. Estou neste mundo muito por culpa da minha curiosidade quase insaciável e por ser um fã de ficção científica.
Assinaturas

ARTIGOS RELACIONADOS

Newsletter PCGuia
Subscreva a newsletter da PCGuia para ficar a par das últimas notícias, dicas e análises de hardware e software.
Subscrever
close-link