Guia e recomendações sobre o ransomware “Petya”

Esse ransomware está sendo descrito pelos pesquisadores de segurança e pela imprensa como "Ransomware Petya" e começou a se espalhar a partir de 27 de Junho de 2017 inicialmente na Ukrania.

Propagação do malware

  • Internamente, dentro da network o malware se espalha através de mais de um método.
  • O ransomware tentará tomar vantagem e se espalhar através de credenciais e usar o Psexec ou WMIC para se espalhar no sistema local onde reside.
  • Se infectar um sistema com credenciais administrativas, o ranswomare pode usar essas credenciais para se espalhar para outros sistemas onde as credenciais têm acesso.
  • E se seu sistema não tiver protegido por anti-virus

Um gerenciamento seguro de credenciais, neste caso, seria a defesa a longo prazo

Como prevenir

O software antivírus da Microsoft detecta e protege contra esse ransomware. Nossa análise inicial descobriu que o ransomware usa várias técnicas para se espalhar, incluindo as que foram resolvidas por uma atualização de segurança (MS17-010) fornecida anteriormente para todas as plataformas, do Windows XP ao Windows 10.

O Windows Defender, o System Center Endpoint Protection e o Forefront Endpoint Protection detectam essa família de ameaças como Ransom:Win32/Petya. Garanta que você tenha uma versão de definição igual ou posterior a:

  • Versão de definição de ameaças: 1.247.197.0
  • Versão criada em: 12:04:25 PM: Terça-feira, 27 de junho de 2017 (Hora do Pacífico)
  • Última Atualização: 12:04:25 PM: Terça-feira, 27 de junho de 2017 (Hora do Pacífico)

Além disso, o Verificador de Segurança da Microsoft gratuito https://www.microsoft.com/security/scanner/ foi projetado para detectar essa ameaça, bem como muitas outras. Se você usa uma solução de um provedor de antivírus que não seja a Microsoft, consulte a respectiva empresa.

Orientação dos Blogs da Microsoft:

  • Blog do MMPC -(Centro de Proteção contra Malware da Microsoft)

    Mostra uma análise mais eficiente e detalhada sobre o funcionamento do malware e orientação para administradores de rede e profissionais de segurança sobre como mitigar contra métodos de ataque específicos do ataque do Ransomware Petya:
    ​Novo ransomware, técnicas antigas: Petya adiciona recursos de worm

Recomendações

  • Se, por algum motivo, você não puder aplicar a atualização, uma possível solução alternativa para reduzir a superfície de ataque é desabilitar o SMBv1 com as etapas documentadas no Artigo 2696547 da Base de Dados de Conhecimento Microsoft.
  • Considere a implementação de técnicas como segmentação de rede e contas menos privilegiadas, que limitarão ainda mais o impacto desses tipos de ataques de malware.
  • Para aqueles que usam o Windows 10, aproveite recursos como o Device Guard para bloquear dispositivos e permitir apenas aplicativos confiáveis, impedindo efetivamente que o malware seja executado.
  • Considere tirar proveito da Proteção Avançada contra Ameaças do Windows Defender, que detecta automaticamente os comportamentos usados por esse novo ransomware.
  • Finalmente, recomendamos examinar as informações fornecidas nesses blogs para obter as etapas específicas que você pode tomar para mitigar contra o Ransomware Petya.

Recursos adicionais

Nós nos empenhamos para fornecer a você informações precisas e continuamos a investigar, e nossas equipes de suporte estão totalmente mobilizadas e envolvidas globalmente para ajudar os clientes afetados.

Microsoft CSS Support