Petya e NoPetya afeta redes locais seguras
Buenas pessoal, essa dica serve principalmente para o pessoal de infra.
O Petya (atual) e NoPetya, que são evoluções do ransomware Petya do passado, evoluíram e atualmente atacam na falha EternalBlue do Windows, criptografando dados e cobrando $ 300 em Bitcoins para enviar um e-mail com instruções de descriptografia.
Já falei sobre o WannCry, Adylkuzz e Petya que atacam na falha EternalBlue, e AQUI, AQUI e AQUI você tem todas informações para se proteger em casa.
Pois bem, quem achava estar seguro com seu computador em casa, pode ficar tranquilo, mas para empresas, com dezenas, centenas de computadores em rede, atualizar o Windows e aplicar patches pode não ser suficiente.
Recentemente foi descoberta uma “vacina” para o Petya e NoPetya, onde o usuário cria na raiz do HD 3 arquivos chamados “perfc”, “perfc.dat” e “perfc.dll” com o atributo de “Somente leitura”, pois o ransomware procura por esse nome e para de funcionar.
Mas tem um porém, ele para de funcionar parcialmente, pois ele só para de encriptar os dados, mas continua com sua segunda atividade, que é roubar as credenciais do usuário, adquirindo acesso a rede e infectando dessa forma todos os computadores da rede, mesmo os protegidos do EternalBlue.
Então a regra é clara, atualizar todos computadores da rede e verificar se todos os computadores Windows que acessam a rede da empresa (visitantes, clientes, terceiros, computadores pessoais, etc…) estão seguros, pois um computador inseguro ou infectado, conectado na rede, pode comprometer a segurança de todos os computadores de uma empresa.
O Petya, teve seu ponto zero em uma empresa desenvolvedora de software de contabilidade, a M.E.Doc, que estava infectada e sem querer liberou uma atualização do seu software de contabilidade que estava infectado, e é ai que tudo começou.
O Petya já está no Brasil e infectou computadores como os de hospitais do câncer no interior de São Paulo.
Vale a pena revisar seus computadores e redes e se prevenir.
Abraços.
