Pesquisadores da área de cibersegurança dizem ter descoberto uma "vacina" capaz de impedir grandes ciberataques de ransomware como ocorrido nesta terça-feira, 27, que atingiu dezenas de organizações espalhadas pelo mundo, inclusive no Brasil.
Essa "vacina", na forma de um único arquivo leitura batizado perfc, que se instala na pasta "C:\Windows" dos computadores, teria a capacidade de impedir que as máquinas fiquem infectadas por vírus de ransomware como o GoldenEye, uma variante do Petya usado nesse ataque, ou o WannaCry, usado num outro ciberataque há duas semanas. Contudo, os especialistas ainda não conseguiram descobrir um "kill switch", ou seja, uma forma de impedir que os vírus se alastrem a outros computadores vulneráveis em ataques desta natureza — normalmente executados através do envio do vírus por correio eletrônico, um e-mail de "origem desconhecida" com um anexo que os usuários abrem por erro ou desconhecimento.
A Forcepoint Security Labs constatou que o ransomware pode se disseminar lateralmente dentro de uma empresa através de uma vulnerabilidade no protocolo SMBv1.
"Analisamos uma amostra associada ao surto (SHA256: 027cc450ef5f8c5f653329641ec1fed91f694e0d229928963b30f6b0d7d3a745). A amostra em si é um arquivo DLL, lançado com o parâmetro de código rígido '#1'.
Após a execução, ele tenta espalhar-se através de um exploit SMBv1 antes de reiniciar a máquina, apresentando uma tela falsa 'CHKDSK' e mostrando a mensagem de resgate. A reinicialização e as mensagens subsequentes são típicas do comportamento de Petya anteriormente observado. Parece haver um atraso significativo entre a execução do malware e o início do processo de criptografia. Dado que o malware reinicia a máquina, é quase certo que permita uma quantidade razoável de tempo para se propagar em redes", explica a empresa.
Outros especialistas da área confirmam que o arquivo perfc é uma solução possível, mas dizem que tem eficácia limitada, porque só protege os computadores em que o arquivo esteja alojado. Até agora, os especialistas ainda não conseguiram perceber como podem travar completamente este tipo de ataques com ransomware.
Para a vasta maioria dos usuários ter a última versão do Windows instalada é suficiente para prevenir que o ataque se concretize caso o vírus infete os seus computadores pessoais.
Os especialistas dizem que o alastramento deste novo tipo de ransomware parece dar-se de forma muito mais lenta do que o WannaCry, o vírus usado no ciberataque de há duas semanas, com uma análise preliminar do código a demonstrar que o ataque de ontem não passou por alastrar o vírus a outras redes que não aquelas que foram definidas como alvos.
