2017/06/28

Como evitar o ransomware NotPetya/SortaPetya/Petya


O WannaCry já lá vai, mas o mundo lida agora com um novo ransomware que tem infectado milhares de empresas na Europa Central e que também se alastra pelo mundo. Felizmente, há um método bastante simples de proteger os computadores contra esta ameaça.

Actualização: afinal o NotPetya não é um ransomware e destrói os dados sem hipótese de os recuperar.

A nova vaga de ransomware Petya continua a alastrar pelo mundo aparentemente via um método usado para actualizações, mas há uma forma simples de evitar este ransomware, bastando criar um ficheiro só de leitura chamado perfc na pasta do Windows.

Se o ransomware detectar este ficheiro, abortará o processo de encriptação dos ficheiros, pelo que mesmo os utilizadores que tiverem sido infectados por ele permanecerão a salvo. Entretanto, os pagamentos feitos a este ransomware já chegaram aos 10 mil dólares, mas não será aconselhável fazerem-no, pois o serviço de email que era indicado para contacto com o atacante suspendeu a sua conta, impedindo que - mesmo quem pague - possa contactá-lo ou receber a chave para descodificar os seus ficheiros.

O ficheiro perfc poderá ser facilmente criado usando um programa como o Notepad, e depois mudando os atributos clicando no ficheiro com o botão direito e indo às suas propriedade, mas quem não se sentir à vontade para isso, poderá simplesmente recorrer a um ficheiro bat que faz todo o trabalho automaticamente:


@echo off
REM Administrative check from here: https://stackoverflow.com/questions/4051883/batch-script-how-to-check-for-admin-rights
REM Vaccination discovered by twitter.com/0xAmit/status/879778335286452224
REM Batch file created by Lawrence Abrams of BleepingComputer.com. @bleepincomputer @lawrenceabrams

echo Administrative permissions required. Detecting permissions...
echo.

net session >nul 2>&1

if %errorLevel% == 0 (
if exist C:\Windows\perfc (
echo Computer already vaccinated for NotPetya/Petya/Petna/SortaPetya.
echo.
) else (
echo This is a NotPetya/Petya/Petna/SortaPetya Vaccination file. Do not remove as it protects you from being encrypted by Petya. > C:\Windows\perfc
                echo This is a NotPetya/Petya/Petna/SortaPetya Vaccination file. Do not remove as it protects you from being encrypted by Petya. > C:\Windows\perfc.dll
                echo This is a NotPetya/Petya/Petna/SortaPetya Vaccination file. Do not remove as it protects you from being encrypted by Petya. > C:\Windows\perfc.dat

attrib +R C:\Windows\perfc
                attrib +R C:\Windows\perfc.dll
                attrib +R C:\Windows\perfc.dat

echo Computer vaccinated for current version of NotPetya/Petya/Petna/SortaPetya.
echo.
)
) else (
echo Failure: You must run this batch file as Administrator.
)

pause



Para este, fica o assunto arrumado... veremos por quanto tempo os utilizadores e empresas poderão ficar descansados, até que surja uma nova vaga de ataques de um novo ransomware usando uma qualquer nova vulnerabilidade.


Actualização: afinal o NotPetya não é um ransomware e destrói os dados sem hipótese de os recuperar.

1 comentário:

  1. O ransomware é feito para ganhar dinheiro. É mais do que certo que, a cada mês, vão surgir versões mais perigosas.
    O que é facto é que grandes empresas têm tanta confiança na segurança dos seus sistemas que preferem desligá-los antes de serem atacados.
    Vamos ver quando bancos forem capturados e os efeitos que isso vai ter na confiança das pessoas e empresas.
    Muito perigoso o ransomware, mesmo que nos ensaios iniciais não tenha parecido.

    ResponderEliminar