Petya: novo ransomware codifica o disco ao invés dos arquivos
Um novo malware apelidado Petya está se espalhando e mudando a ameaça de ransomware para além das atividades de criptografia simples de arquivos.
A nova família de ransomware parece ser o primeiro de seu tipo para criptografar discos rígidos inteiros, um comportamento incomum em comparação com a de outras famílias de malware, tais como Locky, CryptoWall ou TeslaCrypt (que criptografam arquivos individuais). No entanto, semelhante a outros ransomwares, o novo aplicativo malicioso ainda solicita que os usuários paguem um resgate para recuperar o acesso aos seus arquivos.
Pesquisadores da G-Data SecurityLabs, que descobriram a nova ameaça, explicam que o ransomware Petya parece estar voltado principalmente para as empresas.
Eles observaram que ele vem sendo distribuído através de um link Dropbox para download de um alegado portfólio de trabalho (proposta de emprego), incluído em um e-mail enviado para os departamentos de RH.
No entanto, o arquivo baixado através do link é, em vez disso, um arquivo executável que faz com que o computador deixe de funcionar com uma tela azul e reiniciar. Ao reiniciar, o malware manipula o Master Boot Record (MBR), a fim de assumir o processo de reinicialização.
O malware, em seguida, exibe uma mensagem durante o processo de inicialização, reivindicando executar uma verificação do sistema e reparar arquivos corrompidos no sistema. Em vez disso, na verdade o ransomware está travando o usuário do sistema e criptografando o disco rígido, após o qual ele exibe uma mensagem de aviso piscante na tela (você pode ver o malware em ação no vídeo abaixo).
No entanto, os pesquisadores sugerem que os arquivos do usuário não são criptografados totalmente, mas apenas os setores que lhes dão acesso. Por outro lado, a nota de resgate indica que o computador foi criptografado usando um "algoritmo de criptografia de nível militar."
Além de informar os usuários que foram comprometidos, o bilhete de resgate lhes fornece detalhes sobre como eles podem obter uma chave de decodificação e como eles podem pagar por isso. Os operadores do malware também estão instruindo os usuários a baixar e instalar o navegador Tor para pagar o resgate, permitindo aos autores manter seu anonimato.
Os criadores do Petya fornecem aos usuários uma janela de 7 dias para pagar o resgate, após o qual, eles têm de pagar o dobro do montante inicial para recuperar o acesso aos seus arquivos. Uma vez que este tipo de ransomware é novo, os pesquisadores ainda estão estudando a atividade nefasta que ele executa sobre os sistemas comprometidos.
NOTA: O pessoal do grupo Area-55 HS disponibilizou um link do Malwarebytes que ensina como proceder no caso de infecção do PETYA.
Basicamente, deve-se impedir o Windows de reiniciar sempre que houver falha grave (https://support.microsoft.com/en-us/kb/307973) e seguir as instruções adicionais deste link (https://hshrzd.wordpress.com/2016/03/31/petya-key-decoder/).
É importante salientar que as informações exigem algum conhecimento técnico, portanto, se você é apenas um usuário comum, recorra a um técnico de confiança.
