O que você precisa saber sobre o ransomware Petya

O ransomware Petya é ainda mais perigoso que o WannaCry. Conheça suas características e saiba o que fazer em caso de ataque.
Emilia Bertolli
3 minuto de leitura
Ultima atualização 1 de Dezembro de 2023

Um ransomware ainda mais perigoso que o WannaCry, o Petya, além de criptografar todos os dados da vítima, também sequestra o computador e o deixa completamente inacessível, por criptografar seu Master Boot Record.

O Petya é outro ataque rápido que, como o WannaCry, usa o EternalBlue. Porém, diferente do WannaCry, o Petya também pode se espalhar remotamente, não possui ”botão de desligar”, é muito mais sofisticado e deixa as máquinas impossibilitadas de uso.

Como o Petya se espalha

Inicialmente, Petya foi pensado para obter uma brecha em redes corporativas por meio de e-mails com documentos de Word anexo infectados. Mas os pacotes Microsoft Office corrigidos com a atualização estão protegidos desses ataques.

Enquanto o phishing é um vetor de ataque viável, um dos principais vetores é o MeDoc, uma empresa de software financeiro da Ucrânia. O recurso de atualização de software da MeDoc foi hackeado e os atacantes usaram isso para distribuir o Petya. Isso explica por que a Ucrânia foi atingida de forma drástica.

Uma vez que a primeira máquina é infectada, esse ransomware se espalha ponto a ponto para outros bases Windowns e servidores vulneráveis. O Petya também pode se espalhar via PsExec, mesmo em máquinas atualizadas.

O que o Petya faz

Quando o Petya se instala na máquina, leva cerca de uma hora e meia para o ataque ser realizado. Dessa forma, o ransomware tem mais tempo para se espalhar por outras máquinas da rede e pode ofuscar o ponto de entrada.

Depois do tempo de espera, o ataque é feito em quatro etapas:

1 – O Petya criptografa o Master File Table (MFT) conectado localmente ao drive NTFS

2 – Cria uma cópia do ransomware dentro do Master Boot Record (MBR) para o servidor infectado

3 – Força a reinicialização da máquina para que o usuário fique bloqueado

4 – Exibe uma tela com informações para o resgata dos arquivos e da máquina

Quando a MFT é criptografada, o usuário ou servidor é mantido offiline até o pagamento do resgate.

Como prevenir um ataque do Petya

Para se proteger desse ransomware, é preciso cumprir as mesmas etapas tomadas para se proteger do WannaCry:

  • Desativar SMBv1 durante atualizações
  • Bloquear a porta TCP 445 por fora (ou entre os segmentos, se possível)
  • Aplicar todas as atualizações!

Um ransomware ainda mais perigoso que o WannaCry, o Petya, além de criptografar todos os dados da vítima, também sequestra o computador e o deixa completamente inacessível, por criptografar seu Master Boot Record.

O Petya é outro ataque rápido que, como o WannaCry, usa o EternalBlue. Porém, diferente do WannaCry, o Petya também pode se espalhar remotamente, não possui ”botão de desligar”, é muito mais sofisticado e deixa as máquinas impossibilitadas de uso.

Como o Petya se espalha

Inicialmente, Petya foi pensado para obter uma brecha em redes corporativas por meio de e-mails com documentos de Word anexo infectados. Mas os pacotes Microsoft Office corrigidos com a atualização estão protegidos desses ataques.

Enquanto o phishing é um vetor de ataque viável, um dos principais vetores é o MeDoc, uma empresa de software financeiro da Ucrânia. O recurso de atualização de software da MeDoc foi hackeado e os atacantes usaram isso para distribuir o Petya. Isso explica por que a Ucrânia foi atingida de forma drástica.

Uma vez que a primeira máquina é infectada, esse ransomware se espalha ponto a ponto para outros bases Windowns e servidores vulneráveis. O Petya também pode se espalhar via PsExec, mesmo em máquinas atualizadas.

O que o Petya faz

Quando o Petya se instala na máquina, leva cerca de uma hora e meia para o ataque ser realizado. Dessa forma, o ransomware tem mais tempo para se espalhar por outras máquinas da rede e pode ofuscar o ponto de entrada.

Depois do tempo de espera, o ataque é feito em quatro etapas:

1 – O Petya criptografa o Master File Table (MFT) conectado localmente ao drive NTFS

2 – Cria uma cópia do ransomware dentro do Master Boot Record (MBR) para o servidor infectado

3 – Força a reinicialização da máquina para que o usuário fique bloqueado

4 – Exibe uma tela com informações para o resgata dos arquivos e da máquina

Quando a MFT é criptografada, o usuário ou servidor é mantido offiline até o pagamento do resgate.

Como prevenir um ataque do Petya

Para se proteger desse ransomware, é preciso cumprir as mesmas etapas tomadas para se proteger do WannaCry:

  • Desativar SMBv1 durante atualizações
  • Bloquear a porta TCP 445 por fora (ou entre os segmentos, se possível)
  • Aplicar todas as atualizações!

O que devo fazer agora?

Listamos abaixo três recomendações para reduzir os riscos de dados na sua organização:

1

Agende uma demonstração conosco: Veja a usabilidade de Varonis em uma sessão personalizada com base nas necessidades de segurança de dados da sua organização. Responderemos a todas as suas perguntas.

2

Veja um exemplo do nosso Relatório de Risco de Dados: Conheça as ameaças que podem permanecer no seu ambiente. O Relatório da Varonis é gratuito e demonstra claramente como realizar a remediação automatizada.

3

Siga-nos no LinkedIn, YouTube e X (Twitter): Obtenha insights detalhados sobre todos os aspectos da segurança de dados, incluindo DSPM, detecção de ameaças, segurança de IA, entre outros.

Experimente Varonis gratuitamente.

Obtenha um relatório detalhado de risco de dados com base nos dados da sua empresa.
Implanta em minutos.

Keep reading

Varonis tackles hundreds of use cases, making it the ultimate platform to stop data breaches and ensure compliance.

modernizar-seu-mainframe-é-essencial-para-a-segurança-corporativa
Modernizar seu mainframe é essencial para a segurança corporativa
Mainframes são seguros por contarem com uma arquitetura simples e sem endpoints vulneráveis, isso não quer dizer que não sejam alvos de ameaças
o-que-é-o-modelo-de-segurança-confiança-zero?
O que é o modelo de segurança Confiança Zero?
Confiança Zero é um modelo de segurança que verifica todas as credencias, todas as vezes que elas acessarem qualquer recurso, dentro ou fora da rede
o-que-você-precisa-saber-sobre-o-ransomware-–-parte-2
O que você precisa saber sobre o ransomware – Parte 2
O que você precisa saber sobre o ransomware – Parte 2 | Varonis
os-softwares-anti-vírus-ainda-podem-ser-usados?
Os softwares anti-vírus ainda podem ser usados?
Com tantas ameaças novas, o uso do antivírus ainda é válido? A resposta é sim, e a gente explica os motivos aqui -