28 de junho de 2017

Petya ou Petwrap ransomware (Atualização: Kill-switch)

Já foi encontrado o Kill-switch para o Petya ransomware, a empresa Positive Technologies publicou como se pode desativar o ransomware aqui.


Para detetar o Petya na infra-estrutura, os seguintes indicadores podem ser utilizados: 
   C:\Windows\perfс
   Uma tarefa no gestor de tarefas do Windows com um nome e ação em branco (reiniciar) "%WINDIR%\system32\shutdown.exe /r /f"

Regras e ações para  IDS/IPS:

   msg: "[PT Open] Unimplemented Trans2 Sub-Command code. Possible ETERNALBLUE (WannaCry, Petya) tool"; sid: 10001254; rev: 2;
   msg: "[PT Open] ETERNALBLUE (WannaCry, Petya) SMB MS Windows RCE"; sid: 10001255; rev: 3;
   msg: "[PT Open] Trans2 Sub-Command 0x0E. Likely ETERNALBLUE (WannaCry, Petya) tool"; sid: 10001256; rev: 2;
   msg: "[PT Open] Petya ransomware perfc.dat component"; sid: 10001443; rev: 1
   msg:"[PT Open] SMB2 Create PSEXESVC.EXE"; sid: 10001444; rev:1


Assinaturas:
https://github.com/ptresearch/AttackDetection/blob/master/eternalblue(WannaCry%2CPetya)/eternalblue(WannaCry%2CPetya).rules

Petya uses TCP ports 135, 139, 445 for spreading (using SMB and WMI services).

Como ativar o Kill-switch?

O Petya verifica se o ficheiro perfc existe na diretoria "C:\Windows"  a directoria está definida no código. O ficheiro perfc não tem nenhum conteúdo é apenas um ficheiro vazio sem extensão e apenas com permissões de leitura.

Source: www.ptsecurity.com

Mais uma vez não é recomendado pagar o resgate e até agora ainda não há forma de recuperar os ficheiros encriptados.

27 de junho de 2017

Petya ou Petwrap ransomware

Há mais um ransomware que está a aproveitar da vulnerabilidade SMB v1 e que está a percorrer o globo.

Se consultarem o hastag #ransomware pode verificar que já fez algumas vitimas.

Por isso é extremamente muito importante atualizar os sistemas operativos não apenas da Microsoft mas também Linux e Apple. Todos os sistemas tem vulnerabilidades, todos os sistemas tem falhas assim todos os sistemas têm ransomware. Se não acreditam façam uma pesquisa.

Mas existe o seguinte problema:

O Petya utiliza exploits da NSA"Spreads in internal networks with WMIC and PSEXEC. That's why patched systems can get hit." fonte: Mikko Hyppone

Tradução: "Consegue replicar em redes internas com WMIC e PsExec. É por este motivo que os sistema operativos atualizado podem ser atingidos."

Todas as recomendações dizem para não pagar o resgate!! O endereço de e-mail utilizado já se encontra bloqueado e até a hora já houve 28 vitimas que efetuaram o pagamento. Pode consultar as transferências aqui.

Como posso proteger ?

As recomendações são:
  1. Desativar o SMB v1;
  2. Desativar o WMIC (Windows Management Instrumentation Command-line);
  3. Instalatar todos patches da Microsoft.