‘Petya’ x ‘WannaCry’: veja como funcionam essas pragas digitais

‘Petya’ x ‘WannaCry’: veja como funcionam essas pragas digitais

Empresas devem colocar segurança digital como prioridade, recomenda gerente da Baker Tilly

De acordo com a especialista em Segurança da Informação, Gerente da Baker Tilly, Juliana Nicolau, a segurança digital das empresas deve ser colocada como prioridade.

“O mundo tem visto, alarmado, a capacidade das invasões cibernéticas. A partir destes dois últimos ataques ocorridos que colocou em xeque a cibersegurança, é preciso tomar medidas drásticas”, avalia.

Ela explica que os ataques têm origem, quase sempre, a partir da instalação de um vírus que vem disfarçado em e-mail ou aplicativos escondidos.

“Por isso, é  fundamental que os usuários não cliquem ou abram quaisquer tipos de arquivos suspeitos ou desconhecidos”.

O malware chamado de ransomware, “sequestra” os arquivos e só os libera mediante pagamento em moedas virtuais. Os conteúdos do sistema não necessariamente são retirados dos dispositivos, mas são codificados (criptografia) para impedir o acesso dos usuários a eles.

Ontem (27), empresas na Europa, especialmente na Ucrânia, Rússia, Inglaterra e Índia, sofreram ataques de um novo vírus de resgate, diferente do WannaCry, que contaminou centenas de milhares de computadores em 150 países em maio.

Desta vez, o responsável foi identificado como uma evolução do vírus Petya, bastante diferente não só do WannaCry, mas também das versões conhecidas do próprio Petya.

Ao que tudo indica, o vírus usa o “EternalBlue”, um instrumento roubado da Agência de Segurança Nacional dos EUA (NSA), de acordo com a empresa de tecnologia “Symantec”.

De acordo com informações do site G1, o Petya é cerca de um ano mais antigo do que o WannaCry. A primeira versão foi disseminada no início de 2016 e sua função criptográfica logo foi quebrada.

O mesmo aconteceu com a segunda variante do vírus. Foi só na terceira que a praga enfim conseguiu usar uma criptografia robusta. O WannaCry só surgiu neste ano de 2017, e não há, até o momento, registro de qualquer fraqueza em sua criptografia.

A principal característica do Petya é a modificação do setor de inicialização do disco rígido. Os vírus de resgate normalmente só criptografam arquivos (como o WannaCry faz), mas o Petya utiliza uma abordagem diferente: ele criptografa alguns setores-chave do disco, impedindo que o sistema inicie e que qualquer software acesse a lista de arquivos no disco.

Uma grande desvantagem do Petya e de outros vírus de resgate que usam a mesma técnica (como o Satana) é que a vítima pode ter dificuldade para pagar o resgate exigido, mesmo que ela queira, já que o computador não funciona.

Por isso, o novo vírus tentou simplificar o processo e, diferente das versões já conhecidas do Petya, não exige o uso do navegador anônimo “Tor”.

Embora isso facilite o processo de pagamento do resgate, a “simplificação” custou caro: o provedor de e-mail da conta cadastrada no vírus, o Posteo, cancelou o endereço, impedindo as vítimas de se comunicarem com os golpistas.

Em outras palavras, até que os criminosos se manifestem de alguma forma e forneçam outro canal de contato, não há mais razão para pagar o resgate: os arquivos estão perdidos.

O WannaCry também chegou aos computadores usando uma brecha no Windows. Segundo a fabricante de equipamentos de rede Cisco e a fabricante de antivírus Kaspersky Lab, o novo vírus chegou na rede de suas vítimas através de um programa de contabilidade ucraniano, o “MeDoc”.

O site oficial do software confirmou que houve um ataque de vírus ligado ao programa. Mas isso é curioso: os indícios existentes até hoje indicavam que o Petya seria de origem alemã.

E as divergências do Petya com o novo ataque vão além. A Kaspersky Lab já batizou a nova praga de “NotPetya”, alegando que se trata de um vírus novo.

Mas ainda não há consenso entre os especialistas se a nova praga é uma evolução do Petya ou não, e alguns antivírus seguem detectando o ataque com o nome de “Petya”.

Veja como a praga é diferente do que já se sabia do Petya – e do WannaCry – em praticamente todas as etapas do ataque.

1. Criptografia de arquivos

Análises do novo vírus indicam que ele criptografa todos os arquivos do sistema, mas só após o computador ser reiniciado.

Isso, se confirmado, seria diferente de todas as versões do Petya até agora, e também do WannaCry.

O WannaCry criptografa os arquivos presentes no computador assim que contamina a máquina.

O Petya não faz isso – ele muda apenas o setor de inicialização do disco, o que facilita bastante o uso de ferramentas de recuperação de dados para recuperar o que foi perdido.

Uma das versões mais recentes do Petya, que se autodenominava “Goldeneye”, vinha acompanhada de outro vírus de resgate, chamado “Mischa”, que fazia a criptografia dos arquivos.

Essa versão “Goldeney” do Petya foi analisada pela empresa de segurança Malwarebytes em dezembro de 2016.

2. Mensagem de resgate

A mensagem de resgate do novo vírus é diferente da mensagem original do Petya, embora tenha semelhanças.

As mensagens são completamente diferentes da mensagem do vírus WannaCry, inclusive porque a mensagem do Petya e do novo vírus são exibidas no exato instante em que o computador liga, fora do Windows – já que o sistema foi completamente danificado.

3. Funções para se espalhar

Como a maioria dos vírus de resgate, o Petya não se espalha para outros computadores. As primeiras versões do WannaCry também não se espalhavam, até que essa função foi adicionada ao vírus.

Foi então que ocorreu a epidemia através da vulnerabilidade “EternalBlue” no compartilhamento de arquivos do Windows. A falha já havia sido corrigida em março pela Microsoft, mas muitas empresas não tinham aplicado a atualização.

O novo vírus não só utiliza um código aprimorado para explorar a brecha EternalBlue, mas usa também outro código de ataque, o EternalRomance. Diferente do EternalBlue, que é destinado ao Windows 7, o EternalRomance funciona contra computadores com qualquer versão do Windows do XP ao Server 2008, segundo a Kaspersky Lab.

Ambas as falhas são corrigidas pela mesma atualização do Windows e fazem parte de um vazamento de códigos que pertenciam à Agência de Segurança Nacional dos Estados Unidos (NSA).

O vírus traz ainda mais um truque: ele usa as senhas dos usuários logados no sistema para executar o vírus automaticamente em outros computadores por meio da instrumentação do Windows (WMIC) ou PsEXEC, uma função do sistema da Microsoft que dá a administradores de rede a capacidade de gerenciar computadores remotamente e em massa.

Diferente do WannaCry, o vírus aparentemente não se espalha na internet, de acordo com a Cisco.

Para garantir que haja tempo para a contaminação, a nova praga fica dormente por uma hora. Mas, graças aos dois recursos que o vírus usa para se espalhar, uma rede vulnerável pode ser completamente contaminada em minutos.  Após o prazo de uma hora, o vírus reinicia o computador e começa a criptografia dos dados.

Por causa disso, um dos sinais da presença do novo vírus é a existência de uma tarefa agendada no Windows (no “Agendador de Tarefas”) com o comando “%WINDIR%\system32\shutdown.exe /r /f”.

4. Estratégia de contaminação

O Petya é disseminado principalmente por e-mail.

O WannaCry também era, mas a versão com capacidade de se espalhar conseguiu atingir empresas que deixaram seus sistemas expostos na web, e tudo indica que não houve uma onda de ataques por e-mail.

A fabricante de equipamentos de rede Cisco e a fabricante de antivírus Kaspersky Lab afirmam que a nova epidemia começou através do sistema de atualização de um software ucraniano chamado MeDoc.

O fato explicaria a grande quantidade de vítimas no país do leste europeu.

Com informações do G1