Como parar o ataque Petya Ransomware

Obrigado ao Dave Kennedy (ReL1K) @HackingDave e Amit Serper @0xAmit que fizeram a analise do código.

Antes, verifique se você não está vulneravel ao MS17-070:  

https://www.baboo.com.br/seguranca/microsoft-lanca-correcao-para-vulnerabilidade-do-ransomware-wannacrypt/ 

A variável Petya é distribuída como um arquivo DLL, que deve ser executado por outro processo antes de agir no sistema. Uma vez executado, ele sobrescreve o Master Boot Record e cria uma tarefa agendada para reiniciar o sistema.

Essa nova variante do RansonWare verifica se uma determinada DLL existe em c:\Windows. Se ela existir o ataque não acontece. Pois ela usa esse componente como credencial wmic/psexec .
Segundo Dave Kennedy é necessário criar um arquivo chamado perfc.dat  na pasta  “C:\Windows\” irá parar o ataque já Amit Serper indica a criação de um arquivo sem extensão.

Criando o arquivo é necessário bloquear ele de Ler e Executar;

 

Fonte Dave Kennedy (ReL1K) HackingDave

Esse é a tela que identifica o novo ataque

 

 

Sobre Daniel Donda 249 Artigos
Olá, meu nome é Daniel Donda e sou Strategic Systems Consultant para soluções de segurança e compliance. Saiba mais

3 Comentário

  1. Olá, Donda tudo bem?

    Parabéns pelo post.

    Uma coisa que não ficou claro é se o MS17-070 foi aplicado o host está vulnerável? E se MS17-070 não foi aplicado mas o protocolo SMB V1 foi desabilitado, o host está vulnerável?

    Abs.

Faça um comentário

Seu e-mail não será divulgado.


*