Ataque do Ransomware Petya – Conheça as recomendações de segurança


Recomendações  sobre o ataque do ransomware Petya

Atualizações Microsoft
Suspeita-se de que o vetor de infecção desta nova variante do Petya sejam documentos do Microsoft Word maliciosamente preparados para explorar a falha referente ao CVE-2017-0199 [1], que afeta diferentes versões do Microsoft Office. A exploração desta falha dá ao atacante a permissão de execução remota de comandos no sistema impactado.

A correção para esta falha, que tem um CVSS 9,3, foi disponibilizada pela Microsoft em abril deste ano. Caso as atualizações ainda não tenha sido aplicadas, recomendamos que siga os passos da documentação da Microsoft disponível no endereço [1] referente à sua versão do Microsoft Office.

A respeito do vetor de propagação, até o momento, a suspeita é de que seja através da falha EternalBlue, a mesma utilizada pelo Wannacry. Caso isso se confirme, os esforços de mitigação serão semelhantes e incluem a aplicação da atualização da Microsoft referente a falha do SMB (MS17-010) [2].

Referências
[1] https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-0199
[2] https://technet.microsoft.com/pt-br/library/security/ms17-010.aspx

Bloqueios

  • Bloquear o remetente [email protected]
  • Bloquear os seguintes domínios:
    http://mischapuk6hyrn72.onion/
    http://petya3jxfp2f7g3i.onion/
    http://petya3sen7dyko2n.onion/
    http://mischa5xyix2mrhd.onion/MZ2MMJ
    http://mischapuk6hyrn72.onion/MZ2MMJ
    http://petya3jxfp2f7g3i.onion/MZ2MMJ
    http://petya3sen7dyko2n.onion/MZ2MMJ
    http://benkow.cc/71b6a493388e7d0b40c83ce903bc6b04.bin
    COFFEINOFFICE.XYZ
    http://french-cooking.com/
  • Bloquear os seguintes IP Block IPs:
    95.141.115.108
    185.165.29.78
    84.200.16.242
    111.90.139.247
  • Desabilitar o SMBv1
    • Atualizar os hashes do Anti-Virus (verificar com fabricante)
  • Alguns dos hashes identificados até o momento:
    a809a63bc5e31670ff117d838522dec433f74bee
    bec678164cedea578a7aff4589018fa41551c27f
    d5bf3f100e7dbcc434d7c58ebf64052329a60fc2
    aba7aa41057c8a6b184ba5776c20f7e8fc97c657
    0ff07caedad54c9b65e5873ac2d81b3126754aac
    51eafbb626103765d3aedfd098b94d0e77de1196
    078de2dc59ce59f503c63bd61f1ef8353dc7cf5f
    7ca37b86f4acc702f108449c391dd2485b5ca18c
    2bc182f04b935c7e358ed9c9e6df09ae6af47168
    1b83c00143a1bb2bf16b46c01f36d53fb66f82b5
    82920a2ad0138a2a8efc744ae5849c6dde6b435d

    myguy.xls EE29B9C01318A1E23836B949942DB14D4811246FDAE2F41DF9F0DCD922C63BC6
    BCA9D6.exe 17DACEDB6F0379A65160D73C0AE3AA1F03465AE75CB6AE754C7DCB3017AF1FBD

  • Arquivo: “Irina Zirn.xls” (o nome do arquivo pode variar)
    Hash MD5: ea24f966619555245c821ab60e420595
    Hash SHA256: a29819cc703e34cf89cc4f10b47296ff3d4164caec2ec6e053f4eff0ea14c16f
    Hash CRC32: d09fc195

    051ed0019ce8c35a51576ff6396e631bdabd591eb6721ecabec8edd65344436f
    2461da594a1c6464cbefbd1dbad6d84dd842f32b0b9cf1b3cce7c4a019e81f2f
    2f0c38e27b25a99ea6d1d4a765b084bb7d019a259b4b94a6222bd13b2ae63dbc
    2f32060244f06bbe029d1e1bc2d612598a33fe590dce54ffcc7483b4b5c804db
    5b3c49d6b031493c4da98f395f65ececb04798c91c91c6f9d285a72e48186f42
    5bcd81a28b78ab76eb1ffef426602bbf8aa6dfb2666507e0e923343caab4f74c
    7e67e0f77cf564247966fb77dd8469cb22b931d52ea4d776850f4dac6275f502
    8dae7c5cf9e32db39b156f0d249679f3d2159c0f168e9a0c6506731c9bc55ac9
    98a2c9412a3b6891748ec83f9d1e2af742741ab2ba8a3c92bbf08bd40bb21b14
    997d045c22711a26ac167ff7db1362ba0b03266b119d51142a64cea81de68f31
    a60d955f69e9853bc4671d6b72a319bf5279ea65f923306c41f0760d545ea57e
    ab5fefc760c08889d7aca80639f180048a8de5884712118f68c96f9a4a7fec0e
    b196a16f0ce7209b152dc0348e46397805198b381c236806d33f8262d34f4837
    b63ec8e40d1532fe8b5678286f9e9206a2be7721b06730e8d080b1ffc73d4574
    c0a67a40a1ddc8a3695d627449a5320f934790a79d1fa8996434d7149aae229a
    f579f8465cd351c48a56113f79fc35836bb02a6afac22c374a28a727fe0cd120

Incluam também o hash SHA-256 abaixo à lista de bloqueios. Ele refere-se a um sample do malware.
027cc450ef5f8c5f653329641ec1fed91f694e0d229928963b30f6b0d7d3a745

 

  • Que todas as empresas atualizem seu software Windows: os usuários do Windows XP e Windows 7 podem se proteger instalando o patch de segurança MS17-010.
  • Que todas as empresas tenham Um backup adequado e oportuno de seus dados pode ser usado para restaurar arquivos originais após um evento de perda de dados.

 

 

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Esse site utiliza o Akismet para reduzir spam. Aprenda como seus dados de comentários são processados.