Hacker libera chave que descriptografa arquivos sequestrados pelo Petya

O ransomware Petya teve a chave que libera a encriptação de arquivos divulgada por Janus, hacker que desenvolveu o ransomware original. Segundo Janus, ele não teve relação com os últimos ataques — o malware foi “pirateado” por um autor desconhecido, de acordo com o hacker.

Petya e o NotPetya afetaram hospitais, empresas e instituições governamentais com Windows 7

Para refrescar a sua memória: o ransomware Petya e o NotPetya possuem uma diferença primordial. Ambos os malwares criptografam máquinas e pedem bitcoins para a liberação de arquivos. Contudo, o NotPetya apaga os arquivos após o pagamento. Por isso não se recomenda qualquer pagamento relacionado aos ransomwares.

Ainda, o Petya e o NotPetya afetaram hospitais, empresas e instituições governamentais com Windows 7. Mesmo assim, ele foi bem menor que o ransomware WannaCry, que afetou mais de 300 mil computadores em mais de 150 países, mirando versões Windows XP, Server 2003, Windows Vista e Windows 8.

Chave de liberação

O hacker Janus liberou a chave via Twitter. O arquivo para download traz uma encriptação protegida por senha:

Após colocar a senha, a seguinte chave é mostrada (38dd46801ce61883433048d6d8c6ab8be18654a2695b4723).

Não pague ransomware

Não pague ransomware: o mercado do crime virtual gera bilhões de dólares anualmente pelo mundo. Estamos falando de US$ 400 bilhões, segundo a Norton. Apenas no Brasil, em 2016, esse número foi US$ 32 bilhões. Exatamente por isso, podemos afirmar que o cibercrime é um mercado vivo.

Uma das ferramentas que puxa boa parte desse dinheiro é o ransomware, que invade a máquina da vítima, sequestra os arquivos via criptografia e exige uma quantia de dinheiro em bitcoin para liberação dos documentos, vídeos, fotos, senhas e tudo mais que há na máquina.

O que vale é a máxima da prevenção. Manter backups seguros de tudo que possui online, utilizar a nuvem para vários fins e ter, no mínimo, uma boa solução de segurança são alguns dos pontos. Porém, se você mesmo assim teve o seu computador infectado por ransomware, não pague bitcoins aos cibercriminosos e não alimente esse mercado.

Fonte: Tecmundo

NotPetya é um Cyberweapon. Não é Ransomware

O ransomware NotPetya que criptografou e bloqueou milhares de computadores em todo o mundo ontem e hoje é, na realidade, um limpador de disco destinado a sabotar e destruir computadores, e não ransomware. Esta é a conclusão de dois relatórios separados provenientes dos especialistas da Comae Technologies e da Kaspersky Lab.

Especialistas dizem que NotPetya – também conhecido como Petya, Petna, ExPetr – funciona como um ransomware, mas pistas escondidas em seu código fonte revelam que os usuários nunca poderão recuperar seus arquivos.

Isso não tem nada a ver com o fato de que um provedor de e-mail alemão encerrou a conta de e-mail do operador NotPetya. Mesmo que as vítimas possam entrar em contato com o autor NotPetya, elas ainda não têm chance de recuperar seus arquivos.

O arquivo MFT é irrecuperável.

Agradecemos ao Celso, colaborador amigo do seu micro seguro, pela referência e envio do texto desta notícia.

Fonte: Kaspersky

Europa sob novo ataque Ransomware

Enquanto o WannaCry não morreu, variantes do ransomware começaram a infectar computadores na Europa e na Europa Oriental. Dispositivos de bancos, companhias e fornecedoras de energia da Rússia, Ucrânia, Índia, França, Espanha e Reino Unido foram desligados após a invasão do malware sequestrador que cobra US$ 300 em bitcoins pela liberação de arquivos.

Dois novos ransomwares baseados no WannaCry começaram a sequestrar computadores nesta terça-feira

Se você quiser refrescar a memória, em maio deste ano, o ransomware WannaCrypt (WannaCry) afetou mais de 300 mil computadores em mais de 150 países no mundo. O Brasil foi um dos países afetados, com companhias e instituições governamentais desligando computadores e servidores durante alguns dias — você pode clicar aqui para saber mais.

Caso você não saiba, o ransomware é um tipo de malware que, quando entra em um sistema, restringe o acesso e cobra um valor “resgate” para que o usuário possa voltar a acessá-lo. Por exemplo, ao clicar ou baixar um arquivo malicioso, o computador de uma companhia é completamente compactado via criptografia. As companhias praticamente não têm como pegar novamente esses arquivos, a não ser que pague o valor estabelecido pelo invasor — normalmente em bitcoin. Um modus operandi sofisticado, refinado, que não deixa traços, marcas ou trilhas de quem fez isso.

Ransomware Petya e Cryptolocker

As novas variantes do WannaCry que começaram a atacar vários países pela Europa se chamam Petya e Cryptolocker. Os alvos são os mesmos do WannaCrypt: bancos, companhias grandes e pequenas, instituições governamentais e estabelecimentos de fornecimento de energia para cidades.

De acordo com fontes, especificamente o Petya, ele se utiliza da mesma vulnerabilidade Windows SMBv1, que já havia sido explorada em maio. O Petya age reinicializando o PC de vítimas e encriptando o disco rígido de dispositivos (MFT), além de deixar o master boot record (MBR) inoperante. Segundo um relato do VirusTotal, apenas 13 de 61 softwares de antivírus acusam a infecção pelo Petya.

A Ucrânia acredita que a Rússia está por trás do ataque

Até o momento, os nomes de instituições afetadas pelo Petya e Cryptolocker são: Rosneft (gigante petroleira da Rússia), Kyivenergo e Ukrenergo (fornecedoras de energia ucranianas), Banco Nacional da Ucrânia, a agência de publicidade WPP (Reino Unido), AP Moller-Maersk (companhia dinamarquesa de logística), Saint Gobain (França), Mondelez (Espanha) e várias empresas privadas nos outros países já citados.

O conselheiro ucraniano Anton Gerashchenko comentou que “o objetivo final do ataque cibernético é tentar desestabilizar” o país. Além disso, que esse ataque parece ter saído da Rússia, com quem a Ucrânia possui problemas políticos.

Na luta contra o ransomware

A recomendação do TecMundo é: não pague ransomware. O mercado do crime virtual gera bilhões de dólares anualmente pelo mundo. Estamos falando de US$ 400 bilhões, segundo a Norton. Apenas no Brasil, em 2016, esse número foi US$ 32 bilhões. Exatamente por isso, podemos afirmar que o cibercrime é um mercado vivo.

O que vale é a máxima da prevenção. Manter backups seguros de tudo que possui online, utilizar a nuvem para vários fins e ter, no mínimo, um bom antivírus são alguns dos pontos. Porém, se você mesmo assim teve o seu computador infectado por ransomware, não pague bitcoins aos cibercriminosos e não alimente esse mercado. Existem ferramentas e especialistas em segurança para lhe ajudar.

Agradecemos ao Igor, colaborador do seu micro seguro, pela referência a essa notícia.

Fonte: Tecmundo

Misha: o ransomware cúmplice do Petya

mischa-ransomwarePetya e o Mischa são ransomwares que infectam um dispositivo ao mesmo tempo, na forma de um pacote.

Se você visita o nosso blog frequentemente, ou se acompanha notícias de cibersegurança, já conhece o Petya.
O Petya se destacou por não encriptar apenas arquivos, mas sim o disco rígido inteiro por meio da encriptação da Master File Table. Por esta razão, a vítima precisava de outro PC apenas para pagar o resgate. Mesmo depois da ferramenta de desbloqueio do leo_and_stone, outra máquina era precisa, mas nesse caso para desencriptar os arquivos sem pagar o resgate.

Conheça o Mischa

O Petya tinha suas fraquezas. Para fazer o trabalho sujo, precisava de privilégios de acesso. A não ser que um usuário concordasse, não poderia provocar dano algum. Por isso, os criadores o atualizaram com outro ransomware de nome tipicamente russo: Mischa.

Há duas diferenças entre eles. O Petya bloqueia todo o disco rígido, enquanto o Mischa criptografa certos tipos de arquivo. Provavelmente, são as únicas boas notícias. A notícia ruim é que, ao contrário do Petya, o Mischa não precisa de privilégios de administrador. Parece que se complementam.

O Mischa parece muito mais com ransomwares comuns e inclusive utiliza criptografia AES para bloquear arquivos do seu computador. O blog Bleeping Computer afirmou que ele adiciona uma extensão de 4 dígitos aos arquivos encriptados, então um arquivo teste.txt se torna teste.txt.7GP3.

A lista de tipos de arquivos-alvo do Mischa está longe de ser pequena: inclui arquivos .exe, o que significa impedir que usuários executem programas. Contudo, durante a encriptação ele ignora as pastas do Windows e dos navegadores instalados. Depois do mal feito, o Mischa cria dois arquivos com instruções de pagamento:

YOUR_FILES_ARE_ENCRYPTED.HTML e YOUR_FILES_ARE_ENCRYPTED.TXT.

Petya e Mischa são distribuídos por e-mails de phishing se passando por currículos. Quando o malware foi descoberto, estava oculto em um arquivo nomeado PDFBewerbungsmappe.exe (“PDF com lista de documentos para candidatura a vaga” em Alemão). O nome do arquivo em alemão e a forma de distribuição do arquivo indicam os alvos da campanha: empresas alemãs.

Quando um usuário tenta abrir um arquivo .exe que contém a dupla, uma janela de controle de contas do usuário aparece, questionando se o usuário cede acesso de administrador. Eis um daqueles momentos terríveis em que as duas opções são ruins. Se o usuário escolher “Sim”, o Petya é instalado. Se “Não”, o Mischa.

Pagamento com bitcoins

O Mischa parece ser ainda mais ganancioso que o Petya: exige 1,93 bitcoins de resgate, algo em torno de 875 dólares. O Petya exigia em média 0,9 bitcoin.

Um fato engraçado (se isso é possível): Petya é um nome russo, já Mischa por mais que também pareça se encaixar nessa categoria, não é. Alguém que de fato fala russo diria Misha, sem o “c” no meio – soa bem estranho com o “c”!

Infelizmente, não há uma ferramenta de desbloqueio disponível para o Mischa ainda. Há uma para o Petya, mas usá-la demanda certas habilidades em computação.

Para evitar ser vítima do Petya ou Mischa, ou qualquer ransomware, recomendamos as seguintes medidas:

Faça backups. Com frequência. Se você possuir backups dos seus arquivos, você pode mandar esse ransomware… Bem, para onde você quiser.
Não confie em ninguém e fique sempre alerta. Um currículo com .exe como extensão? No mínimo suspeito. Melhor não abrir.
Instale uma boa solução de segurança.

Agradecemos ao Davi, colaborador amigo do seu micro seguro, pela referência a essa notícia.

Fonte: Kaspersky blog

Como desfazer o estrago causado pelo Ransomware Petya

decrypt-petyaDois especialistas criaram ferramentas capazes de desfazer o estrago causado pelo ransomware “Petya”, uma nova praga digital que atua codificando os primeiros setores do disco rígido, o chamado “setor de inicialização”. A atuação do vírus, além de impedir o acesso aos dados como outros vírus de resgate, impede o próprio acesso ao computador, obrigando a vítima a realizar o processo de obtenção da chave e pagamento em um segundo computador.

O Petya começou a ser disseminado por e-mail no fim de março. Caso a vítima abra o programa, ele exige uma mensagem falsa de verificação de erro de disco enquanto na verdade codifica o setor de inicialização. Como outros vírus de resgate, depois de impedir o acesso aos dados (e ao computador), o Petya fornece instruções para que a vítima realize um pagamento para obter a senha.

Análises do vírus demonstraram, porém, que a “criptografia” usada era uma simples operação lógica conhecida como “Ou exclusivo” (também conhecido como “XOR”). Essa operação lógica pode ser revertida desde que se conheça a chave e o Petya usa sempre a mesma chave. A partir disso, um programador anônimo criou um aplicativo online que gera a senha de desbloqueio do vírus de resgate a partir de certos dados obtidos do próprio disco do computador infectado.

Outro programador, Fabian Wosar, criou o programa Petya Extractor (download aqui) que lê os dados necessários para esse processo. Em posse dos dados, basta usar o primeiro aplicativo para obter a chave e, em seguida, digitar a chave na tela de bloqueio do próprio vírus.

A maior dificuldade é extrair o disco rígido do computador infectado e colocá-lo em uma outra máquina onde ele poderá ser lido pelo Petya Extractor. Em alguns casos, pode ser possível ler diretamente os dados do disco rígido em outro computador, sem precisar desbloqueá-lo com a chave.

Com isso, o Petya entra para a lista dos vírus de resgate que não deixam os arquivos totalmente “irrecuperáveis”. Infelizmente, outros tipos de vírus de resgate, como o CryptoWall – o mais comum no Brasil – continuam sem solução.

Agradecemos ao Davi, colaborador amigo do seu micro seguro, pela referência a essa notícia.

Fonte: G1

Novo ransonware criptografa todo o HD

petyaProgramas maliciosos do tipo ransomware não são novdiade. Estes malwares criptografam dados e exigem dos usuários o pagamento de um resgate para que possam acessar novamente seus dados. Mas o novo exemplar conhecido por “Petya” vai mais longe.

De acordo com a G Data, uma empresa da área da segurança, o Petya é capaz de criptografar todo o disco rígido de um computador, deixando o sistema totalmente bloqueado. A contaminação se iniciar pela vítima em potencial sendo atraída por uma falsa proposta de trabalho. A infecção se dá quando o usuário cai na armadilha de fazer o download de um arquivo, supostamente um Curriculum Vitae. a execução desse aquivo faz com que o computador seja bloqueado e após o reinício do Windows aparece uma mensagem indicando que o sistema está sendo reparado.

No entanto, o que está realmente acontecendo nessa hora é a codificação dos dados do disco rígido. Mais tarde, o usuário é convidado a pagar um resgaste para recuperar a informação criptografada.
A mensagem avisa ainda que os arquivos serão definitivamente eliminados caso o pagamento não seja feito.

A G Data tem informações pormenorizadas no blog da empresa.

Agradecemos ao Davi, colaborador amigo do seu micro seguro, pela referência a essa notícia.

Fonte: Exame Informática