Um novo malware do tipo ransomware está se espalhando rapidamente entre as máquinas Windows nas redes corporativas da Rússia, Ucrânia e toda a Europa. Ainda não existem casos confirmados no Brasil.

Aparentemente, uma nova variante do Petya, o malware utiliza o DiskCryptor, um software opensource de critpografia total do discos e pede como resgate 0,05 bitcoin (cerca de R$ 900) por equipamento infectado.
O malware chega as vítimas como uma atualização do Adobe Flash, via download do arquivo malicioso que deve ser executado pelo usuário.

As informações sobre os métodos de propagação ainda são poucas e divergentes. Alguns fabricantes de antivírus comunicam que o malware usa a vulnerabilidade conhecida como EternalBlue para se espalhar e fazer o movimento lateral. Outros, afirmam que o malware procura e tenta acesso via compartilhamentos, usando uma lista pré-definida de usuários e senhas padrão para se autocopiar posteriormente para a máquina de destino.

Um consenso é que uma vez na máquina destino o malware usa o software conhecido como Mimikatz para procurar credenciais válidas na memória e acessar novos equipamentos, dando sequência ao ciclo.
Pesquisadores continuam trabalhando em análises mais detalhadas.

Como se proteger?

  • Durante a navegação, caso apareça mensagens sobre atualizações de software, valide a informação diretamente no website do fabricante do produto, antes de clicar;
  • Evite o download e uso de software vindos de fontes desconhecidas ou duvidosas;
  • Tenha sempre backups dos seus dados mais sensíveis. Nestes casos, é indicado ter múltiplos backups;
  • Tenha sempre antivírus atualizado, preferencialmente software pagos, que tendem a lançar vacinas de forma mais rápida;
  • Mantenha seus equipamentos atualizados, use sempre o Windows Update.
  • Por enquanto os pesquisadores sugerem que desabilitando o serviço WMI do Windows evita que o malware se espalhe pela rede.
    • Antes dessa ação, deve-se avaliar o possível impacto em outros serviços da sua rede;
    • Para mais informações sobre WMI do Windows, acesse o link: https://msdn.microsoft.com/en-us/library/aa826517(v=vs.85).aspx
    • Para desabilitar o serviço WMI, na linha de comando do Windows digitar .. net stop winmgmt.