O vírus que esta terça-feira está a afectar os sistemas informáticos de várias multinacionais e que foi detectado originalmente na Ucrânia, pode ter consequências mais graves do que o WannaCry, que no mês passado se espalhou por mais de 150 países incluindo Portugal.

"Tem propensão para ser um vírus com consequências mais devastadoras – atinge não só ficheiros individuais mas a 'hard drive' [disco rígido]. Pode ser um ataque com uma expansão superior por não existir um mecanismo de mitigação ou para o cessar," disse Andreia Teixeira, especialista na área de cibersegurança da Aon Portugal, ao Negócios.

Este vírus torna os discos rígidos inacessíveis ao encriptar a "master file table" (MFT, que indica onde estão os ficheiros do disco) e apresenta informação que pede o pagamento de um resgate de 300 dólares (cerca de 265 euros) para desbloquear os sistemas informáticos encriptados.

Mas os especialistas em cibersegurança dividem-se na classificação deste "ransomware" - software criado para bloquear o acesso aos sistemas informáticos e só permitir o acesso em caso de pagamento de resgate.

"O que sabemos é que é um vírus [Petya] que já existia e está a ser recuperado para aproveitar as vulnerabilidades dos sistemas de várias empresas que não foram actualizados," defende Andreia Teixeira, sublinhando o que também tinha sido avançado ao início da tarde pela agência de informação tecnológica suíça MELANI, citada pela Reuters e pela agência federal alemã de cibersegurança BSI. 
 
Mas o entendimento não é unânime. "As primeiras descobertas avançadas pela Kaspersky Lab sugerem que esta não é uma variante do ransomware Petya, como foi avançado publicamente, mas sim um novo 'ransomware' que nunca foi visto anteriormente. Esse é o motivo pelo qual o intitulamos NotPetya," dizem por seu turno os analistas da Kaspersky Lab, em comunicado enviado às redacções.

Dois mil utilizadores afectados

Segundo estes analistas, até ao momento foram atacados dois mil utilizadores, sobretudo na Rússia e Ucrânia, tendo sido ainda registadas incidências na Polónia, Itália, Reino Unido, Alemanha, França ou EUA.

Peritos em segurança informática citados pelo Telegraph referem que, ao contrário do WannaCry, não há um "kill switch" – um mecanismo que permita parar a propagação – para o Petya ou NotPetya, levando a que seja mais difícil de travar do que a onda de Maio passado. 

Além disso, como refere Andreia Teixeira, não visa ficheiros individuais como o WannaCry, mas sim o disco. "Este ataque toma controlo de computadores e impede-os de trabalhar em conjunto. As implicações deste ciberataque espalham-se mais: podem afectar desde serviços do Estado a bancos ou transportes," disse ao Telegraph o vice-presidente da Varonis, Ken Spinner.

Segundo aquela especialista, apesar de não ser uma evolução do WannaCry, o "modus operandi" é o mesmo: chega às máquinas dissimulado em mensagens de e-mail através do chamado "phishing" e com uma sofisticação superior à do Wannacry.

Tal como o Governo, também a Aon diz não ter conhecimento oficial de que Portugal tenha sido atingido pelos ataques, mas Andreia Teixeira refere que as medidas preventivas adoptadas depois do WannaCry - nomeadamente a actualização dos sistemas das empresas - possam ter reduzido o seu nível de vulnerabilidade.

"Aconselhamos todas as empresas a atualizar o seu software Windows, a confirmar a sua solução de segurança e garantir que têm backup e a detecção de ransomware em funcionamento," defende a Kaspersky.

Como se processa a infecção

O ecrã começa por exibir uma mensagem de erro em que se pede para reiniciar o computador. Quando isso acontece, surge uma outra mensagem em que se pede para não desligar o equipamento. Se se tentar reiniciar, o ecrã exibe uma caveira vermelha e uma mensagem a exigir o pagamento de um resgate para desbloquear o sistema.

Se o utilizador não tive reiniciado a máquina, o anti-vírus instalado no computador ainda pode conseguir eliminar este software malicioso. Mas se esse reinício tiver tido lugar, será mais difícil evitar a infecção. Mesmo repondo as configurações iniciais e removendo o vírus, os ficheiros continuarão encriptados e só poderão ser desbloqueados através de uma chave digital a que apenas se tem acesso pagando o resgate.

Portugal sem casos conhecidos

Entretanto, o Centro Nacional de Cibersegurança (CNCS) disse não ter detectado, até às 17:00, que o ciberataque de larga escala que está em curso na Europa tenha tido efeitos em Portugal.