Como parar o ataque Petya Ransomware

By | 27 de junho de 2017
Print Friendly, PDF & Email

Obrigado ao Dave Kennedy (ReL1K) @HackingDave e Amit Serper @0xAmit que fizeram a analise do código.

Antes, verifique se você não está vulneravel ao MS17-070:  

https://www.baboo.com.br/seguranca/microsoft-lanca-correcao-para-vulnerabilidade-do-ransomware-wannacrypt/ 

A variável Petya é distribuída como um arquivo DLL, que deve ser executado por outro processo antes de agir no sistema. Uma vez executado, ele sobrescreve o Master Boot Record e cria uma tarefa agendada para reiniciar o sistema.

Essa nova variante do RansonWare verifica se uma determinada DLL existe em c:\Windows. Se ela existir o ataque não acontece. Pois ela usa esse componente como credencial wmic/psexec .
Segundo Dave Kennedy é necessário criar um arquivo chamado perfc.dat  na pasta  “C:\Windows\” irá parar o ataque já Amit Serper indica a criação de um arquivo sem extensão.

Criando o arquivo é necessário bloquear ele de Ler e Executar;

 

Fonte Dave Kennedy (ReL1K) HackingDave

Esse é a tela que identifica o novo ataque

 

 

  • Nuno

    Olá, Donda tudo bem?

    Parabéns pelo post.

    Uma coisa que não ficou claro é se o MS17-070 foi aplicado o host está vulnerável? E se MS17-070 não foi aplicado mas o protocolo SMB V1 foi desabilitado, o host está vulnerável?

    Abs.

    • Oi Nuno.Se o MS17-010 não é atacado diretamente, mas pode ser “lateralmente” pq ai usa WMI w PSEXEC. Então se algum host na rede for infectado diretamente (Sem o MS17-010) ai os demais tem que ficar protegidos.

      • Nuno

        Muito obrigado pelo retorno!

        E mais uma vez obrigado por compartilhar conhecimento.