O que você precisa saber sobre o ransomware Petya

O ransomware Petya é ainda mais perigoso que o WannaCry. Conheça suas características e saiba o que fazer em caso de ataque.
3 minuto de leitura
Ultima atualização 1 de Dezembro de 2023

Um ransomware ainda mais perigoso que o WannaCry, o Petya, além de criptografar todos os dados da vítima, também sequestra o computador e o deixa completamente inacessível, por criptografar seu Master Boot Record.

O Petya é outro ataque rápido que, como o WannaCry, usa o EternalBlue. Porém, diferente do WannaCry, o Petya também pode se espalhar remotamente, não possui ”botão de desligar”, é muito mais sofisticado e deixa as máquinas impossibilitadas de uso.

Como o Petya se espalha

Inicialmente, Petya foi pensado para obter uma brecha em redes corporativas por meio de e-mails com documentos de Word anexo infectados. Mas os pacotes Microsoft Office corrigidos com a atualização estão protegidos desses ataques.

Enquanto o phishing é um vetor de ataque viável, um dos principais vetores é o MeDoc, uma empresa de software financeiro da Ucrânia. O recurso de atualização de software da MeDoc foi hackeado e os atacantes usaram isso para distribuir o Petya. Isso explica por que a Ucrânia foi atingida de forma drástica.

Uma vez que a primeira máquina é infectada, esse ransomware se espalha ponto a ponto para outros bases Windowns e servidores vulneráveis. O Petya também pode se espalhar via PsExec, mesmo em máquinas atualizadas.

O que o Petya faz

Quando o Petya se instala na máquina, leva cerca de uma hora e meia para o ataque ser realizado. Dessa forma, o ransomware tem mais tempo para se espalhar por outras máquinas da rede e pode ofuscar o ponto de entrada.

Depois do tempo de espera, o ataque é feito em quatro etapas:

1 – O Petya criptografa o Master File Table (MFT) conectado localmente ao drive NTFS

2 – Cria uma cópia do ransomware dentro do Master Boot Record (MBR) para o servidor infectado

3 – Força a reinicialização da máquina para que o usuário fique bloqueado

4 – Exibe uma tela com informações para o resgata dos arquivos e da máquina

Quando a MFT é criptografada, o usuário ou servidor é mantido offiline até o pagamento do resgate.

Como prevenir um ataque do Petya

Para se proteger desse ransomware, é preciso cumprir as mesmas etapas tomadas para se proteger do WannaCry:

  • Desativar SMBv1 durante atualizações
  • Bloquear a porta TCP 445 por fora (ou entre os segmentos, se possível)
  • Aplicar todas as atualizações!

Um ransomware ainda mais perigoso que o WannaCry, o Petya, além de criptografar todos os dados da vítima, também sequestra o computador e o deixa completamente inacessível, por criptografar seu Master Boot Record.

O Petya é outro ataque rápido que, como o WannaCry, usa o EternalBlue. Porém, diferente do WannaCry, o Petya também pode se espalhar remotamente, não possui ”botão de desligar”, é muito mais sofisticado e deixa as máquinas impossibilitadas de uso.

Como o Petya se espalha

Inicialmente, Petya foi pensado para obter uma brecha em redes corporativas por meio de e-mails com documentos de Word anexo infectados. Mas os pacotes Microsoft Office corrigidos com a atualização estão protegidos desses ataques.

Enquanto o phishing é um vetor de ataque viável, um dos principais vetores é o MeDoc, uma empresa de software financeiro da Ucrânia. O recurso de atualização de software da MeDoc foi hackeado e os atacantes usaram isso para distribuir o Petya. Isso explica por que a Ucrânia foi atingida de forma drástica.

Uma vez que a primeira máquina é infectada, esse ransomware se espalha ponto a ponto para outros bases Windowns e servidores vulneráveis. O Petya também pode se espalhar via PsExec, mesmo em máquinas atualizadas.

O que o Petya faz

Quando o Petya se instala na máquina, leva cerca de uma hora e meia para o ataque ser realizado. Dessa forma, o ransomware tem mais tempo para se espalhar por outras máquinas da rede e pode ofuscar o ponto de entrada.

Depois do tempo de espera, o ataque é feito em quatro etapas:

1 – O Petya criptografa o Master File Table (MFT) conectado localmente ao drive NTFS

2 – Cria uma cópia do ransomware dentro do Master Boot Record (MBR) para o servidor infectado

3 – Força a reinicialização da máquina para que o usuário fique bloqueado

4 – Exibe uma tela com informações para o resgata dos arquivos e da máquina

Quando a MFT é criptografada, o usuário ou servidor é mantido offiline até o pagamento do resgate.

Como prevenir um ataque do Petya

Para se proteger desse ransomware, é preciso cumprir as mesmas etapas tomadas para se proteger do WannaCry:

  • Desativar SMBv1 durante atualizações
  • Bloquear a porta TCP 445 por fora (ou entre os segmentos, se possível)
  • Aplicar todas as atualizações!

O que devo fazer agora?

Listamos abaixo três recomendações para reduzir os riscos de dados na sua organização:

1

Agende uma demonstração conosco: Veja a usabilidade de Varonis em uma sessão personalizada com base nas necessidades de segurança de dados da sua organização. Responderemos a todas as suas perguntas.

2

Veja um exemplo do nosso Relatório de Risco de Dados: Conheça as ameaças que podem permanecer no seu ambiente. O Relatório da Varonis é gratuito e demonstra claramente como realizar a remediação automatizada.

3

Siga-nos no LinkedIn, YouTube e X (Twitter): Obtenha insights detalhados sobre todos os aspectos da segurança de dados, incluindo DSPM, detecção de ameaças, segurança de IA, entre outros.

Experimente Varonis gratuitamente.

Obtenha um relatório detalhado de risco de dados com base nos dados da sua empresa.
Implanta em minutos.

Keep reading

Varonis tackles hundreds of use cases, making it the ultimate platform to stop data breaches and ensure compliance.

apresentando-varonis-para-chatgpt-enterprise
Apresentando Varonis para ChatGPT Enterprise
A plataforma líder do setor de segurança de dados da Varonis oferece suporte ao ChatGPT Enterprise da OpenAI, mantendo os dados seguros contra riscos de uso indevido e exposure da IA.
3-etapas-para-proteger-seus-dados-do-snowflake
3 etapas para proteger seus dados do Snowflake
Descubra os riscos de segurança de dados no Snowflake e aprenda táticas específicas para garantir práticas seguras.
varonis-faz-parceria-com-a-pure-storage-para-proteger-dados-críticos
Varonis faz parceria com a Pure Storage para proteger dados críticos
Juntas, Varonis e Pure Storage permitem que os clientes protejam proativamente dados confidenciais, detectem ameaças e sigam as normas de privacidade de dados e IA em constante evolução. 
varonis-mais-uma-vez-nomeada-líder-no-gigaom-radar-para-plataformas-de-segurança-de-dados 
Varonis mais uma vez nomeada Líder no GigaOm Radar para Plataformas de Segurança de Dados 
GigaOm, uma empresa líder em análise, reconhece a experiência da Varonis em análise comportamental, segurança de acesso, integração de serviços e inovação contínua em IA e automação.