Petya ou NotPetya? Novo ransomware usa mesma falha do WannaCry

email facebook googleplus pinterest twitter whatsapp

Por Melissa Cruz Cossetti, da redação

Uma nova onda de ataques com vírus ransomware começou pela Europa e, segundo especialistas, já chegou a empresas e organizações no Brasil. Os pesquisadores divergem, porém, sobre a origem do novo malware, que usa a mesma falha no Windows, explorada pelo WannaCry em maio. O ransomware, que se comporta como um worm (se propagando por computadores em rede) está sendo chamado de Petya. Porém, segundo a Kaspersky, o Petya foi um vírus que apareceu em 2016, com características parecidas e que, no ataque desta terça-feira (27), trata-se de outra família de ransomware, a qual chamaram de NotPetya.

Na tarde desta mesma terça-feira, porém, a empresa deu um novo nome: ExPetr. Ainda segundo a fabricante de antivírus, é cedo para compará-lo tecnicamente com o WannaCry, embora semelhanças existam. Leia entrevista com especialista.

Petya ou NotPetya? Kaspersky levanta dúvida sobre novo ransomwre (Foto: Divulgação/Kaspersky) Petya ou NotPetya? Kaspersky levanta dúvida sobre novo ransomwre (Foto: Divulgação/Kaspersky)

Petya ou NotPetya? Kaspersky levanta dúvida sobre novo ransomwre (Foto: Divulgação/Kaspersky)

App do TechTudo: receba dicas e notícias de tecnologia no seu celular

De acordo com a companhia de antivírus, nas descobertas preliminares, foi percebido que esta não é uma variante do ransomware Petya, como o assunto está sendo publicamente tratado. Foram registrados os primeiros ataques em Polônia, Itália, Alemanha e Estados Unidos. A Microsoft, responsável pelo Windows, sistema operacional alvo do ataque, informou que investiga o caso.

"Estamos cientes dos relatos e estamos investigando", informou ao TechTudo.

De acordo com Thiago Marques, pesquisador da Kaspersky no Brasil, o NotPetya — como prefere chamar — é o segundo ransomworm de grande escala que atinge empresas no mundo todo. Complexo, o ataque envolve vários vetores de ataques. "Quando começaram a análise, ligaram o novo ransomware ao Petya, que apareceu em 2016. Quando analisamos, vimos que é diferente. Existem algumas particularidades que o tornam parecido. Porém, a sua forma de funcionamento é diferente. É uma outra família de ransomware", completa.

Ainda de acordo com o especialista, é possível confirmar que o novo malware usa o exploit EternalBlue, o mesmo explorado pelo WannaCry. Entretranto, desta vez, parece ter sido modificado, ao menos para propagação em rede via SMB1.

"Nesta versão, o ramsonware também esta usando o EternalBlue [uma falha no protocolo SMB1 do Windows, já corrigida pela Microsoft]. Porém, desta vez, eles modificaram um pouco o código", explica. "Não dá para saber, ainda, se essa mudança consegue contornar o patch lançado do Microsoft em março", diz.

Sobre as semelhanças com o WannaCry, Marques detalha que o único detalhe que permite relacionar com o incidente anterior, até o momento, é de que os dois casos de ransomware possuem a capacidade de se espalhar em rede, por conta própria, como worms, e atingiram larga escala em empresas no mundo todo.

A ESET também teve cautela ao compará-lo com o WannaCry e o Petya, que há cerca de um mês afetou empresas no mundo todo. "Ele apresenta também semelhanças com o ransomware Petya, ameaça que surgiu em 2016 e afetou a área de recursos humanos de empresas alemãs, as impedindo de iniciar seus computadores ao cifrar os discos rígidos", diz a empresa, em comunicado.

Como o vírus tem se propagado em redes corpoativas, é importante que todas as empresas conectadas atualizem o Windows para patches de segurança, verifiquem updates no banco de dados dos antivírus que utilizam e, como medida proativa, tenham backups de suas informações caso percam todos os dados.

WannaCrypt: alguém já pagou bitcoins para ter de voltar arquivos bloqueados por ransomware? Confira no Fórum do TechTudo.

MAIS DO TechTudo