O WannaCry e o Petya (ou NotPetya, ExPetr …) agitaram o notíciário sobre tecnologia no últimos dois meses. O WannaCry — um ransomware que usa criptografia para bloquear dados — e o Petya — um wiper que encripta arquivos de inicialização do computador, causando estrago ainda maior — tiveram propagação, especialmente, entre PCs com Windows, conectados em rede. Ou seja, em empresas. Os vírus usam uma falha da Microsoft para disseminar o malware como um worm, sem qualquer ação do usuário, por meio do protocolo SMB1.
O Petya se difere do WannaCry especialmente por dois aspectos: não encripta apenas os arquivos de extensões específicas como planilhas e documentos, mas o MBR (Master Boot Record) — o registro mestre de inicialização do computador — e sua propagação utiliza várias técnicas para infectar novas máquinas — desde a falha no SMB1 do Windows até links e arquivos maliciosos enviados por e-mail.
Os dois, porém, possuem o mesmo impacto. Encriptam dados e impedem que o dono da máquina tenha acesso aos seus próprios documentos. A mais recente ameaça, torna ainda o sistema operacional inutilizável e as vítimas são obrigadas a reinstalar o Windows. Em ambos os casos, os hackers pedem dinheiro — sempre em bitcoins — para dar a chave de acesso que libera os PCs das vítimas.
Petya pede resgate aos usuários infectados pelo wiper (Foto: Divulgação/ESET)
Mas como o vírus chega a outros países?
O WannaCry e o Petya contaminaram, primeiro, computadores na Europa. Em pouco tempo, porém, o malware chegou ao Brasil. Em questão de horas, computadores de empresas nacionais de diferentes tamanhos acusaram a presença do instruso, causando problemas para as vítimas do malware.
“Uma vez que a máquina foi infectada, ele tenta extrair dados e utiliza comandos PsExec e WMIC para buscar pastas e discos compartilhados e se propagar pela rede em que o equipamento está conectado. Assim, consegue se espalhar para outras regiões e países”, diz Camillo Di Jorge, presidente da ESET Brasil.
“Ele [o Petya] chegou ao Brasil e a América Latina por meio de empresas multinacionais conectadas com filiais europeias e asiáticas”, completa.
O que as empresas podem fazer para evitar o ataque?
Contar com o antivírus é essencial, e que ele esta esteja atualizado e configurado corretamente. Atualizar o Windows para corrigir as falhas de software já mapeadas pela Microsoft é sempre um fator de segurança que deve ser respeitado. As informações mais relevantes da empresa também devem estar mapeadas e possuírem uma cópia para que seja fácil fazer a restauração em caso de ataque — e a companhia não ficar nas mãos de hackers em busca de dinheiro.
Ainda de acordo com a ESET, é importante que haja uma boa gestão de senhas, já que uma máquina com credencial de administrador infectada pode espalhar o malware por toda a rede de computadores conectados. Leia-se aí parques de máquinas inteiros com centenas de PCs.
“O ataque da semana passada e o estrago provocado por ele em empresas de todo o mundo deixou claro que muitas corporações ainda tinham sistemas desatualizados, falta de soluções de segurança e plano de contingência, mesmo com outros ataques semelhantes recentes”, encerra.
Máquinas infectadas tem solução?
Técnicas forenses pode usar um acesso por meio de outro sistema operacional na memória desses computadores e recuperar alguns arquivos encriptados. De todo modo, será necessário aplicar o backup — a única maneira, segundo a empresa de segurança, de se evitar a reinstalação do sistema operacional completamente.
Em último caso, caso não tenha um backup, os cibercriminosos sugerem o pagamento de um resgate, o que não é recomendado por especialistas, já que o pagamento estimula esse tipo de crime. Criadores de ransomware em geral tem enviado instruções de pagamento em bitcoins de até US$ 300 (cerca de R$ 990).
