Com as recentes ondas de ataques cibernéticos cada vez mais sofisticados graças a vazamentos de arquivos e ferramentas desenvolvidas pela NSA (Agência Nacional de Segurança dos Estados Unidos), algumas equipes de TI e empresas de todo o mundo estão passando por dias de certo desespero ao ver do dia pra noite todo o seu parque de computadores incapacitados e diversos arquivos importantes sequestrados acompanhado de uma mensagem solicitando um resgate, geralmente salgado, na moeda virtual Bitcoin por ataques de vírus conhecidos como ransomware.
Mês passado os jornais de todo o mundo noticiavam sobre o WannaCry, que basicamente poderíamos estar prevenidos apenas de manter os computadores com sistema operacional Windows com as atualizações em dia. Essa semana, porém todo o mundo é novamente surpreendido por diversas empresas tendo seus dados sequestrados pelo Petya.
O Petya é baseado no WannaCry, porém ele é ainda mais eficaz em tomar o controle de redes de computadores que utilizam o sistema operacional Windows pelo mundo. Isso porque ele utiliza 3 vetores para a infecção:
Ele utiliza a falha do Windows conhecida como ETERNALBLUE (essa falha foi durante muito tempo utilizada pela NSA para fins de espionagem), que apesar de corrigida pela Microsoft nas atualizações de Março de 2017 ainda existe em muitos sistemas que não foram atualizados;
Caso o sistema já esteja protegido contra a falha ETERNALBLUE o Petya utiliza outro método, uma ferramenta do Windows chamada PsExec que permite administradores de sistema executarem comandos de forma remota (o que é algo muito bom para quem gerencia uma rede com diversos computadores). Porém mesmo que você não tenha o PsExec instalado, o Petya já vem com uma cópia dessa ferramenta. Porém o Petya consegue utilizar essa falha apenas se o usuário da máquina for administrador, então para nos prevenir desse vetor de infecção o recomendado é não utilizar contas com perfis adminsitrativos.
Caso o usuário não tenha permissão de administrador, o Petya utiliza uma ferramenta hacker chamada LSADUMP para escanear a memória e tentar descobrir senhas de usuários administradores para tentar contaminar outras máquinas da rede.
É importante lembrar que as medidas citadas acima são para evitar a proliferação do vírus, e que além disso é importante observar algumas outras medidas que podem ser aplicadas inclusive em casa:
- Não utilizar programas de computador piratas: É comum optar por fazer o download de jogos, programas em sites de compartilhamentos, ou baixar um ativador para o sistema operacional ou pacote office, mas a maioria esquece que nada vem realmente de graça. Por trás dos “programinhas” que geram as senhas e códigos de ativação estão diversos programas que abrem portas em seu sistema para que um hacker possa entrar e fazer o que bem entender;
- Manter um HD externo ou pendrive com uma cópia de arquivos importantes em local seguro e desconectado do computador;
- Evitar clicar em links e abrir anexos em mensagens de e-mail e redes sociais de remetentes desconhecidos ou suspeitos.
Para saber mais como utilizar a internet de forma segura, o Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil (Cert.br) em https://cartilha.cert.br
DICA DE OURO
O Petya vem com um ‘botão de desativar’, que impede que seus arquivos sejam criptografados mesmo que sua máquina seja infectada, para isso basta criar um arquivo perfc no diretório %windir%
Veja como criar esse arquivo:
Pressione no seu teclado as teclas Windows+X, será exibido um menu, nele escolha a opção “Prompt de Comando (Admin)”
Irá abri uma telinha preta (Prompt de Comando), nela basta você copiar e colar o comando “echo disablePetya > C:\WINDOWS\perfc” e pressionar ENTER no seu teclado
