Categorias

Novo ransomware sobrescreve o setor de boot do disco rígido

Pesquisadores da Trend Micro detectaram um novo e mais destrutivo tipo de ransomware em atividade na Alemanha, capaz de sobrescrever o setor de boot do disco rígido e a tabela de arquivos.

Batizada de Petya, a ameaça torna o computador inoperante a menos que a vítima pague um resgate de mais de mil e quatrocentos reais aos seus criadores.

De acordo com a empresa de segurança, o Petya chega até suas vítimas na forma de um e-mail supostamente se candidatando a uma vaga de emprego. Os responsáveis pelo ransomware concentraram seus ataques em endereços de recursos humanos para maximizar o potencial de sucesso do phishing. O falso e-mail leva o destinatário para uma pasta compartilhada no Dropbox que conteria o currículo e uma foto do candidato. Na verdade, o currículo contém o malware e, se baixado e extraído, instala o Petya na máquina do usuário.

A partir da infecção, o ransomware sobrescreve o MBR (master boot record) do disco rígido e provoca uma falha grave no Windows para forçar a reinicialização do sistema. Com o MBR adulterado, o PC não retorna ao Windows, mas exibe uma falsa tela de verificação para o usuário enquanto o Petya passa a encriptar a tabela de arquivos (MFT) do disco.

Ao contrário de outros ransomware, o Petya não encripta cada arquivo individualmente mas altera o MFT. Através dessa tabela, o HD sabe em que ponto de sua superfície está armazenado cada um dos arquivos da máquina, seu nome e seu tamanho. Sem o MFT, os arquivos continuam existindo, mas se tornam inacessíveis.

petya-ransomware

Concluído seu trabalho, o Petya passa a exibir na tela somente sua mensagem com instruções de pagamento do resgate, junto com uma caveira e ossos cruzados formados por caracteres. A vítima deve acessar um endereço na deep web usando uma ferramenta de anonimato para depositar 0.99 bitcoins (BTC) na conta do sequestrador, identificando a máquina afetada com um código único emitido pelo ransomware.

Em dólares, o valor do resgate na conversão da moeda virtual fica em torno de US$430. Em Reais, o preço a ser pago pela infecção chega a R$1.471 na cotação de hoje.