Note
Access to this page requires authorization. You can try signing in or changing directories.
Access to this page requires authorization. You can try changing directories.
Esse ransomware está sendo descrito pelos pesquisadores de segurança e pela imprensa como "Ransomware Petya" e começou a se espalhar a partir de 27 de Junho de 2017 inicialmente na Ukrania.
Propagação do malware
- Internamente, dentro da network o malware se espalha através de mais de um método.
- O ransomware tentará tomar vantagem e se espalhar através de credenciais e usar o Psexec ou WMIC para se espalhar no sistema local onde reside.
- Se infectar um sistema com credenciais administrativas, o ranswomare pode usar essas credenciais para se espalhar para outros sistemas onde as credenciais têm acesso.
- E se seu sistema não tiver protegido por anti-virus
Um gerenciamento seguro de credenciais, neste caso, seria a defesa a longo prazo
Como prevenir
O software antivírus da Microsoft detecta e protege contra esse ransomware. Nossa análise inicial descobriu que o ransomware usa várias técnicas para se espalhar, incluindo as que foram resolvidas por uma atualização de segurança (MS17-010) fornecida anteriormente para todas as plataformas, do Windows XP ao Windows 10.
O Windows Defender, o System Center Endpoint Protection e o Forefront Endpoint Protection detectam essa família de ameaças como Ransom:Win32/Petya. Garanta que você tenha uma versão de definição igual ou posterior a:
- Versão de definição de ameaças: 1.247.197.0
- Versão criada em: 12:04:25 PM: Terça-feira, 27 de junho de 2017 (Hora do Pacífico)
- Última Atualização: 12:04:25 PM: Terça-feira, 27 de junho de 2017 (Hora do Pacífico)
Além disso, o Verificador de Segurança da Microsoft gratuito https://www.microsoft.com/security/scanner/ foi projetado para detectar essa ameaça, bem como muitas outras. Se você usa uma solução de um provedor de antivírus que não seja a Microsoft, consulte a respectiva empresa.
Orientação dos Blogs da Microsoft:
Blog do MMPC -(Centro de Proteção contra Malware da Microsoft)
Mostra uma análise mais eficiente e detalhada sobre o funcionamento do malware e orientação para administradores de rede e profissionais de segurança sobre como mitigar contra métodos de ataque específicos do ataque do Ransomware Petya:
Novo ransomware, técnicas antigas: Petya adiciona recursos de worm
Blog do MSRC - (Microsoft Security Response Center)
Fornece percepções e orientações adicionais que os clientes podem usar para melhorar as proteções na empresa: Atualização sobre Ataques de Malware Petya
Blog do Central de Segurança do Azure
Discute as medidas que os clientes do Azure podem tomar para prevenir e detectar o malware Petya
Prevenção e detecção do ransomware Petya na Central de Segurança do Azure
Recomendações
- Se, por algum motivo, você não puder aplicar a atualização, uma possível solução alternativa para reduzir a superfície de ataque é desabilitar o SMBv1 com as etapas documentadas no Artigo 2696547 da Base de Dados de Conhecimento Microsoft.
- Considere a implementação de técnicas como segmentação de rede e contas menos privilegiadas, que limitarão ainda mais o impacto desses tipos de ataques de malware.
- Para aqueles que usam o Windows 10, aproveite recursos como o Device Guard para bloquear dispositivos e permitir apenas aplicativos confiáveis, impedindo efetivamente que o malware seja executado.
- Considere tirar proveito da Proteção Avançada contra Ameaças do Windows Defender, que detecta automaticamente os comportamentos usados por esse novo ransomware.
- Finalmente, recomendamos examinar as informações fornecidas nesses blogs para obter as etapas específicas que você pode tomar para mitigar contra o Ransomware Petya.
Recursos adicionais
- Boletim de Segurança da Microsoft: MS17-010 - Atualização de Segurança para o Servidor SMB do Microsoft Windows (4013389)
- KB2696547 - como habilitar e desabilitar SMBv1, SMBv2 e SMBv3 no Windows e no Windows Server
- White paper: Mitigando ataques PtH (Pass-the-Hash) e outros roubos de credenciais, v1 e v2
- Proteção Avançada contra Ameaças do Windows Defender
- Windows IT Center: Guia de Implantação do Device Guard para Windows 10 e Windows Server 2016
- O Microsoft Security Tech Center: https://technet.microsoft.com/pt-br/security/default
- O Guia de Atualização de Segurança da Microsoft: https://aka.ms/securityupdateguide
Nós nos empenhamos para fornecer a você informações precisas e continuamos a investigar, e nossas equipes de suporte estão totalmente mobilizadas e envolvidas globalmente para ajudar os clientes afetados.
Microsoft CSS Support