Como se distribui ?

O aspeto diferenciador deste malware relativamente ao WannaCry é que também usa mensagens de correio-electrónico armadilhadas, especificamente formatadas, para infetar computadores.  

 

Os anexos incluídos nas mensagens de correio-electrónico usam uma vulnerabilidade crítica do Microsoft Office (CVE-­2017-­0199 Office RTF vulnerability) para fazer download do instalador do Petya a partir da Internet e execução da propagação da infeção a toda a rede como mencionado.

 

Um aspeto altamente relevante desta vulnerabilidade é que não depende de qualquer ação indevida dos utilizadores para ser explorada, bastando que estes “abram” o documento usando o   Word ou Wordpad para propiciar a infeção.

 

Como se manifesta ?

Este malware é mais agressivo que o WannaCry dado cifrar o MFT (Master File Tree) e substituir o MBR (Master Boot Record) com um bootloader próprio, não se limitando a cifrar apenas ficheiros específicos. 

 

Basicamente, toma controlo total da máquina, apresentando apenas a nota de resgate e impedindo o arranque normal do equipamento.      
     

 

 

Como lidar com o problema ?

A inibição da infeção através de mensagens de correio-electrónico é possível pela aplicação de um patch (correção) disponibilizado pela Microsoft (CVE-­2017-­0199) em 11 de abril de 2017.

A inibição da propagação do malware é possível pela aplicação de um patch disponibilizada pela Microsoft (CVE-­2017-­0144) em março de 2017. 

 

Organizações que tenham aplicado o segundo patch em larga escala verão apenas afectados os computadores onde os anexos de mensagens de correio-electrónico supra-­‐mencionadas sejam acedidos pelos utilizadores e o primeiro dos patches acima indicados não tenha sido aplicado.

 

Recomenda-se o patching das duas vulnerabilidades assim que possível. Se devido a riscos de compatibilidade com outros software instalados tal não for possível, devem ser tomadas medidas de mitigação complementares dado serem vulnerabilidades que serão certamente exploradas por outros atores no curto e médio-prazo.

 

Ao contrário do WannaCry, não parece existir um killswitch que, se ativado, impeça posteriores infeções e/ou propagações do malware.

 

Qual o impacto causado ?

Entre os países mais afetados encontram-­se a Ucrânia, Rússia, Reino Unido, Irlanda, Espanha, França, Dinamarca e Índia, com especial relevância para o primeiro.

 

Entre os sectores mais afetados encontram-se os seguintes:

• Petróleo;
• Gasolineiras;
• Banca;
• Administração Pública;
• Elétricas;
• Transportes;
• Transportes aéreos;
• Aeroportos;
• Ferrovias Urbanas;
• Construção Civil;
• Publicidade;
• Empresas de Alojamento.

 

Embora a S21sec esteja a investigar o malware com recurso a meios próprios e ao seu laboratório forense, muitos dos pontos anteriores não foram corroborados por si própria, sendo reflexo de observações realizadas em vários fóruns e outras empresas, tipicamente fabricantes de soluções anti-­malware, do setor como é o caso da CheckPoint e da Kaspersky.        

 

Como é usual, e porque já não é a primeira vez que é usada uma vulnerabilidade dos produtos Microsoft, é aconselhável que os sistemas Windows estejam devidamente atualizados, assim como as soluções de segurança instaladas nos computadores.