Ransomware Petya usado em novo ciberataque mundial é mais 'letal' que WannaCry.

Ransomware Petya usado em novo ciberataque mundial é mais 'letal' que WannaCry.

Diversas empresas na Europa, e especialmente na Ucrânia, Rússia, Inglaterra e Índia, estão sofrendo ataques de um novo vírus de resgate diferente da praga digital WannaCry, que contaminou centenas de milhares de computadores em 150 países em maio. O responsável pelo ataque desta vez seria uma evolução do vírus Petya, mas o novo vírus difere bastante não só do WannaCry, mas também das versões conhecidas do Petya.

O Petya em si é cerca de um ano mais antigo do que o WannaCry. A primeira versão do Petya foi disseminada no início de 2016 e sua função criptográfica logo foi quebrada. O mesmo aconteceu com a segunda versão do vírus. Foi só na terceira versão que a praga enfim conseguiu usar uma criptografia robusta. O WannaCry só surgiu neste ano de 2017, e não há até o momento registro de qualquer fraqueza em sua criptografia.

A principal característica do Petya, e que já foi confirmada na nova praga que está se espalhando, é a modificação do setor de inicialização do disco rígido. Os vírus de resgate normalmente só criptografam arquivos (como o WannaCry faz), mas o Petya utiliza uma abordagem diferente: ele criptografa alguns setores-chave do disco, impedindo que o sistema inicie e que qualquer software acesse a lista de arquivos no disco. 

Uma grande desvantagem do Petya e de outros vírus de resgate que usam a mesma técnica (como o vírus Satana) é que a vítima pode ter dificuldade para pagar o resgate exigido pelo vírus, mesmo que ela queira, já que o computador não funciona. Por isso, o novo vírus tentou simplificar o processo e, diferente das versões já conhecidas do Petya, não exige o uso do navegador anônimo "Tor". Embora isso facilite o processo de pagamento do resgate, a "simplificação" custou caro: o provedor de e-mail da conta cadastrada no vírus, o Posteo, cancelou o endereço, impedindo as vítimas de se comunicarem com os golpistas. Em outras palavras, até que os criminosos se manifestem de alguma forma e forneçam outro canal de contato, não há mais razão para pagar o resgate: os arquivos estão perdidos.

O WannaCry também chegou aos computadores usando uma brecha no Windows. Segundo a fabricante de equipamentos de rede Cisco e a fabricante de antivírus Kaspersky Lab, o novo vírus chegou na rede de suas vítimas através de um programa de contabilidade ucraniano, o "MeDoc". O site oficial do software confirmou que houve um ataque de vírus ligado ao programa. Mas isso é curioso: os indícios existentes até hoje indicavam que o Petya seria de origem alemã.

E as divergências do Petya com o novo ataque vão além. A Kaspersky Lab já batizou a nova praga de "NotPetya", alegando que se trata de um vírus novo. Mas ainda não há consenso entre os especialistas se a nova praga é uma evolução do Petya ou não, e alguns antivírus seguem detectando o ataque com o nome de "Petya".

Já a ESET afirmou que o Petya usa uma combinação do exploit "EternalBlue" para entrar nas redes e depois se espalhar por elas via PsExec.

Veja como a praga é diferente do que já se sabia do Petya - e do WannaCry - em praticamente todas as etapas do ataque.

1. Criptografia de arquivos

Análises do novo vírus indicam que ele criptografa todos os arquivos do sistema, mas só após o computador ser reiniciado. Isso, se confirmado, seria diferente de todas as versões do Petya até agora, e também do WannaCry.

O WannaCry criptografa os arquivos presentes no computador assim que contamina a máquina. O Petya não faz isso - ele muda apenas o setor de inicialização do disco, o que facilita bastante o uso de ferramentas de recuperação de dados para recuperar o que foi perdido. Uma das versões mais recentes do Petya, que se autodenominava "Goldeneye", vinha acompanhada de outro vírus de resgate, chamado "Mischa", que fazia a criptografia dos arquivos. Essa versão "Goldeney" do Petya foi analisada pela empresa de segurança Malwarebytes em dezembro de 2016.

2. Mensagem de resgate

A mensagem de resgate do novo vírus é diferente da mensagem original do Petya, embora tenha semelhanças. As mensagens são completamente diferentes da mensagem do vírus WannaCry, inclusive porque a mensagem do Petya e do novo vírus são exibidas no exato instante em que o computador liga, fora do Windows - já que o sistema foi completamente danificado.

3. Funções para se espalhar

Como a maioria dos vírus de resgate, o Petya não se espalha para outros computadores. As primeiras versões do WannaCry também não se espalhavam, até que essa função foi adicionada ao vírus. Foi então que ocorreu a epidemia através da vulnerabilidade "EternalBlue" no compartilhamento de arquivos do Windows. A falha já havia sido corrigida em março pela Microsoft, mas muitas empresas não tinham aplicado a atualização.

O novo vírus não só utiliza um código aprimorado para explorar a brecha EternalBlue, mas usa também outro código de ataque, o EternalRomance. Diferente do EternalBlue, que é destinado ao Windows 7, o EternalRomance funciona contra computadores com qualquer versão do Windows do XP ao Server 2008, segundo a Kaspersky Lab. Ambas as falhas são corrigidas pela mesma atualização do Windows e fazem parte de um vazamento de códigos que pertenciam à Agência de Segurança Nacional dos Estados Unidos (NSA).

O vírus traz ainda mais um truque: ele usa as senhas dos usuários logados no sistema para executar o vírus automaticamente em outros computadores por meio da instrumentação do Windows (WMIC) ou PsEXEC, uma função do sistema da Microsoft que dá a administradores de rede a capacidade de gerenciar computadores remotamente e em massa. Diferente do WannaCry, o vírus aparentemente não se espalha na internet, de acordo com a Cisco.

Para garantir que haja tempo para a contaminação, a nova praga fica dormente por uma hora. Mas, graças aos dois recursos que o vírus usa para se espalhar, uma rede vulnerável pode ser completamente contaminada em minutos.  Após o prazo de uma hora, o vírus reinicia o computador e começa a criptografia dos dados.

Por causa disso, um dos sinais da presença do novo vírus é a existência de uma tarefa agendada no Windows (no "Agendador de Tarefas") com o comando "%WINDIR%\system32\shutdown.exe /r /f". 

4. Estratégia de contaminação

O Petya é disseminado principalmente por e-mail. O WannaCry também era, mas a versão com capacidade de se espalhar conseguiu atingir empresas que deixaram seus sistemas expostos na web, e tudo indica que não houve uma onda de ataques por e-mail. 

A fabricante de equipamentos de rede Cisco e a fabricante de antivírus Kaspersky Lab afirmam que a nova epidemia começou através do sistema de atualização de um software ucraniano chamado MeDoc, o que explicaria a grande quantidade de vítimas no país do leste europeu.

Com informações do site Segurança Digital.