O ransomware Petya/NotPetya apaga os dados? Não, é algo diferente

O Petna/NotPetya concede enigmas aos peritos IT

Tal como depois do ataque do WannaCry, o mundo tem de encontrar formas de recuperar também do ataque do Petya/ExPetr/NotPetya. Embora o se diga que o ataque tenha sido a uma escala menor que o vírus anterior, os resultados são mais graves. Especialistas em segurança cibernética depressa criaram um desencriptador para o WannaCry, mas é pouco provável que os utilizadores do NotPetya tenham essa hipótese.

Novos factos descobertos

A 27 de Junho, o mundo foi atacado pelo malware que parecia outra versão do Petya. Análises posteriores revelaram:

• o malware NotPetya/Petya.A/Petrwrap, é uma variante do Petya com um código de origem completamente sobrescrito
• o vírus carrega ao invés do Windows OS
• visa as mesmas vulnerabilidades
• pede 300 USD de resgate
• não designa ID a um computador afetado

Enquanto o código de origem possa ser completamente diferente, o vírus comporta-se de forma semelhante à versão original do Petya. Mexe com definições de início de sistema o que permite carregar o malware ao invés do Windows.

O relato recente sugeriu que o malware eventualmente elimine os ficheiros das vítimas. Contudo, cedo essas suposições foram negadas. Mais especificamente, o malware é um assalto cibernético e não um ransomware. Nem a versão original do Petya nem a mais recente comunicam com os servidores Comando e Controlo.

Assim, o vírus não designa um código de identificação específico ao dispositivo vitimizado. Resumindo, sem essa informação, as vítimas não podem receber chaves de desencriptação correspondentes para os seus ficheiros. As vítimas do NotPetya não devem considerar o pagamento pois um dos principais domínios de e-mail foi eliminado.

A origem da infeção reside na Ucrânia

Embora a ameaça virtual tenha infetado dezenas de empresas e corporações internacionais em todo o mundo, manifestou uma preferência clara pela Ucrânia. Ultimamente, este país tem sido alvo frequente dos criminosos cibernéticos.

Não obstante, os relatos revelaram resultados espantosos. A origem do NotPetya/Petna/Petya.A reside no programador de software de contabilidade digital M.E. Doc. IT. Profissionais alegam ter provas que os vilões cibernéticos se infiltraram no sistema de computador da empresa e corromperam a rede de atualização.

Assim, mesmo a empresa parceira que instalou as atualizações emitida pela outra empresa seria imediatamente infetada. Novas funções descobertas sugerem que este malware pode ser o pico de uma maior campanha política cibernética direcionada à Ucrânia. Note que após o WannaCry ter vindo à luz do dia, o malware XData infligiu maior dano que a ameaça anterior.

Desde o seu aparecimento, factos espantosos foram revelados. Com sorte, análise posteriores não só revelarão factos mais intrigantes como irão dar pistas como refrear a infeção permanentemente.