Como bloquear e evitar que o sistema de resgate Petya (NotPetya / SortaPetya / Petna) infecte computadores.
O pesquisador de segurança da Cybereason, Amit Serper, encontrou uma maneira de evitar que o sistema de resgate Petya (NotPetya / SortaPetya / Petna) infecte computadores.
O ransomware tem causado muita gravidade na glob e hoje, bloqueando as seções MFT e MBR do disco rígido e impedindo que o computador inicialize. A menos que as vítimas optem por pagar um resgate ( que agora é inútil e não recomendado ), não havia como recuperar seus sistemas.
Inicialmente, os pesquisadores acreditavam que este novo ransomware era uma nova versão de uma ameaça mais antiga chamada Petya, mas eles descobriram que essa era uma nova tensão, que emprestou algum código de Petya, daí o motivo pelo qual eles começaram recentemente a chamá-lo de NotPetya, Petna , Ou como gostamos de chamá-lo SortaPetya.
Os pesquisadores reuniram-se para encontrar o mecanismo Killswitch
Devido ao alcance global do Ransomware, muitos pesquisadores se reuniram para analisá-lo, na esperança de encontrar uma lacuna em sua criptografia ou um domínio de killswitch que o impediria de se espalhar, semelhante ao WannaCry .
Ao analisar o funcionamento interno do ransomware, Serper foi o primeiro a descobrir que a NotPetya procuraria um arquivo local e iria sair de sua rotina de criptografia se esse arquivo já existisse no disco.
As descobertas iniciais do pesquisador foram posteriormente confirmadas por outros pesquisadores de segurança, como a PT Security , a TrustedSec e a Emsisoft.
Isso significa que as vítimas podem criar esse arquivo em seus PCs, configurá-lo para somente leitura e bloquear o NotPetya ransomware de execução.
Embora isso evite que o ransomware seja executado, esse método é mais uma vacinação, em seguida, um interruptor de morte. Isso ocorre porque cada usuário do computador deve criar esse arquivo independentemente, em comparação com um "switch" que o desenvolvedor do ransomware pode ativar globalmente para prevenir todas as infecções do ransomware.
Como ativar a vacina NotPetya / Petna / Petya
Para vacinar seu computador para que você não consiga se infectar com a tensão atual de NotPetya / Petya / Petna (sim, essa nomeação é irritante), basta criar um arquivo chamado perfc na pasta C: \ Windows e torná-lo somente leitura . Para aqueles que querem uma maneira rápida e fácil de executar esta tarefa, Lawrence Abrams criou um arquivo em lotes que executa este passo para você.
Este arquivo em lote pode ser encontrado em: https://download.bleepingcomputer.com/bats/nopetyavac.bat
Para aqueles que desejam vacinar seu computador manualmente, você pode usar as seguintes etapas. Observe que essas etapas estão sendo criadas para torná-lo o mais fácil possível para aqueles com pouca experiência com o computador. Para aqueles que têm maior experiência, você pode fazê-lo em algumas, e provavelmente melhor, maneiras.
Primeiro, configure o Windows para mostrar extensões de arquivo. Para aqueles que não sabem como fazer isso, você pode usar este guia . Apenas certifique-se de que a configuração Opções de pasta para Ocultar extensões para tipos de arquivo conhecidos não foi verificada como abaixo.
Depois de ativar a visualização de extensões, que você sempre deve ter habilitado, abra a pasta C: \ Windows . Uma vez que a pasta está aberta, role para baixo até ver o programa notepad.exe.
Depois de ver o programa notepad.exe , clique com o botão esquerdo sobre ele uma vez para que ele seja destacado. Em seguida, pressione Ctrl + C ( 
) para copiar e, em seguida, Ctrl + V ( 
) para colá-lo. Quando você colar, você receberá um prompt pedindo que você conceda permissão para copiar o arquivo.
) para copiar e, em seguida, Ctrl + V ( ) para colá-lo. Quando você colar, você receberá um prompt pedindo que você conceda permissão para copiar o arquivo.
Pressione o botão Continuar e o arquivo será criado como bloco de notas - Copy.exe . Clique com o botão esquerdo neste arquivo e pressione a tecla F2 em seu teclado e, em seguida, apague o bloco de notas - Copie o nome do arquivo e digite perfc como mostrado abaixo.
Uma vez que o nome do arquivo foi alterado para perfc, pressione Enter no seu teclado. Agora você receberá um prompt perguntando se você tem certeza de que deseja renomeá-lo.
Clique no botão Sim . O Windows novamente pedirá permissão para renomear um arquivo nessa pasta. Clique no botão Continuar .
Agora que o arquivo perfc foi criado, agora precisamos fazê-lo somente ler. Para fazer isso, clique com o botão direito do mouse no arquivo e selecione Propriedades como mostrado abaixo.
O menu de propriedades deste arquivo agora será aberto. Na parte inferior, haverá uma caixa de seleção com Leitura somente . Coloque uma marca de seleção como mostrado na imagem abaixo.
Agora, clique no botão Aplicar e depois no botão OK . A janela de propriedades deve fechar e seu computador agora deve ser vacinado contra o NotPetya / SortaPetya / Petya Ransomware.
Relatório adicional de Lawrence Abrams.
Comentários
Postar um comentário