Como novas famílias e versões estão surgindo a cada momento, parece que 2016 será declarado o ano do ransomware. Surge, agora, o ransomware Petya, que em vez de criptografar arquivo por arquivo, substitui o Master Boot Record (MBR) e criptografa a Tabela de Arquivos Mestre (MFT), impedindo que a vítima acesse os seus arquivos.

petya-tela
Ransomware Petya está sendo entregue por campanhas de phishing destinadas a departamentos de RH das empresas alemãs. Na figura, o site do ransomware Petya na deep web.

Tipicamente, quando um usuário é infectado por um cripto-ransomware , a infecção tem como objetivo criptografar os arquivos do seu HD. O sistema operacional funcionará sem problemas, mas o usuário será impedido de abrir os arquivos criptografados. O Ransomware Petya deu um passo além, criptografando porções do HD, impedindo que o usuário acesse qualquer coisa dele, incluindo o Windows.

Petya é um ransomware que tem como alvo principal usuários corporativos, sendo distribuído em e-mails de spam e de campanhas de phishing destinadas a departamentos de RH de empresas alemãs. O cenário de infecção padrão se parece com o seguinte:

Um funcionário de RH recebe um e-mail de alguma pessoa procurando uma posição na empresa. O e-mail contém um link para um arquivo Dropbox, que finge ser seu curriculum vitae, mas na realidade é um arquivo EXE. O arquivo quando executado, instalará o ransomware Petya. Um exemplo de instalação é o Bewerbungsmappe-gepackt.exe 1.

Pausa para a pergunta valendo um milhão de Reais:

Por que alguém iria enviar um currículo em um arquivo com extensão .EXE?

Aproveitando a oportunidade: caso suspeite de algum arquivo, verifique o arquivo usando o VirusTotal, que é um serviço gratuito de análise de arquivos e URLS suspeitas.

É importante dizer que existe um monte de má informação na internet sobre como corrigir o computador quando ele é criptografado pelo Petya. Muitos desses sites dizem que você pode usar o comando FixMBR ou reparar o MBR para remover a infecção. Apesar desta ação remover a tela de bloqueio, ele não irá descriptografar o MFT e os arquivos. O Windows continuará inacessível. Somente repare o MBR (Master Boot Record) se você não se importar em perder dados e reinstalar o Windows.

Como o ransomware Petya criptografa o HD está ilustrado no vídeo abaixo:

Petya Ransomware
Petya revela sua verdadeira face, que se parece com um crânio construído com símbolos ASCII. Em seguida, a rotina habitual começa: o malware exige que o usuário pague um resgate (0,9 bitcoins que é cerca de US $ 380) para que o disco rígido seja descriptografado.
petya-ransomware-2
Instruções de descriptografia e pagamento de resgate: ransomware Petya afirma ter criptografado os arquivos do usuário utilizando um algoritmo de criptografia de nível militar e exige o pagamento em BitCoins.

Uma diferença em relação a outros ransomware é que o Petya funciona completamente off-line, o que não é nenhuma surpresa, uma vez que ele impede o acesso ao sistema operacional. Assim, o usuário tem que encontrar outro computador se quiser pagar o resgate e obter seus dados de volta.

No momento deste post, o pagamento do resgate custa aproximadamente 0,9 bitcoins (cerca de US $ 380) e não existe nenhuma ferramenta gratuita que corrija o problema.

O Petya ransomware afirma, como mostra a figura acima,  ter criptografado os arquivos do usuário utilizando o algoritmo de criptografia de nível militar e exige pagamento BitCoins por um site TOR.

Como combater o Petya

Antes de tudo, é forçoso dizer que o sucesso dos ransomware nos últimos meses é mais uma indicação da falta de segurança de TI das empresas e dos usuários do que qualquer outra coisa. Você e seus funcionários precisam aprender – e você precisa ensinar a eles –  que não se deve abrir anexos suspeitos ou clicar em links de e-mails não solicitados (no caso do Petya, havia um link com o Dropbox).

Infelizmente, como acontece com outros tipos recentes de ransomware, os pesquisadores ainda não encontraram uma maneira de recuperar dados criptografados pelo Petya. No entanto, ainda existem algumas coisa que você possa fazer para proteger  os seus dados e algumas boas notícias.

A boa notícia é que Dropbox removeu os arquivos maliciosos com Petya de seu armazenamento em nuvem2. Portanto, agora os bandidos têm que encontrar alguma outra forma de distribuição. A má notícia é que ele provavelmente não vai demorar muito tempo para fazer isso.

Então, vamos voltar para a proteção. O que você pode fazer?3

1. Se você ver a Tela Azul da Morte, os dados ainda não estarão corrompidos, uma vez que Petya não começou a criptografar o MFT (Master File Table, Tabela de Arquivos Mestre). Então, caso você veja que o seu computador mostrou uma tela de erro, reiniciou e iniciou a verificação do disco, desligue-o imediatamente. Neste ponto, você ainda poderá remover seu disco rígido, conecta-lo a outro computador (mas não usá-lo como um dispositivo de inicialização!) e recuperar seus arquivos. Criptografar todo o disco pode levar muito tempo e a maioria dos seus arquivos, provavelmente, ainda estarão intactos se você desligar o computador a tempo. Manter o computador desligado irá congelar toda a atividade do malware.

2. Petya criptografa apenas o MFT (tabela de arquivos mestre) deixando os próprios arquivos intocados. Arquivos ainda podem ser recuperados por especialistas em recuperação de unidades de disco. Este procedimento pode ser complicado e demorado, podendo custar caro, mas é possível. No entanto, aconselho que não tente fazer isso em casa, pois trata-se de um serviço especializado. Um erro fará com que você perda os seus arquivos para sempre.

3. Uma das melhores formas para se proteger de forma proativa é usar uma boa solução de segurança, como a da Kaspersky. Leia: Dicas para se proteger contra ransomware

O premiado Kaspersky Internet Security é considerado uma das melhores proteções para endpoints.

Como já foi dito, não há até o momento nenhuma maneira de descriptografar de graça o HD. Os pesquisadores estão analisando este ransomware, portanto, no futuro,  poderá ser possível por meio de uma ferramenta. Assim que eu tiver mais informações concretas, atualizarei este artigo. De qualquer forma, esta página contém algumas orientações de como remover o Petya.

  1. http://www.bleepingcomputer.com/news/security/petya-ransomware-skips-the-files-and-encrypts-your-hard-drive-instead/
  2. http://www.scmagazine.com/petya-ransomware-overwrites-mbrs-and-leverages-cloud-services/article/485833/
  3. https://blog.kaspersky.com/petya-ransomware/11715/
ASSINE NOSSO BOLETIM
Concordo em informar meus dados pessoais para recebimento da newsletter.
Junte-se a mais de 8.000 visitantes que estão recebendo nossa newsletter sobre cibersegurança.
Seu endereço de email não será vendido ou compartilhado com mais ninguém.