Petya o ransomware devorador de discos rígidos

Parece que 2021 deve ser declarado um ano de ransomware , já que novas famílias e novas versões estão surgindo de vez em quando como cogumelos após a chuva.

O ransomware está evoluindo - rapidamente. As novas versões de ransomware usam criptografia assimétrica forte com chaves longas para que os arquivos não possam ser descriptografados sem a chave. Os bandidos começaram a usar TOR e pagamentos em bitcoins para permanecerem totalmente anônimos. E agora existe o Petya ransomware que, de certa forma, criptografa todo o disco rígido de uma vez, em vez de criptografar os arquivos um por um.

Como Petya coloca as mãos no seu PC

Petya é um ransomware voltado principalmente para usuários de negócios, pois é distribuído em e-mails de spam que fingem conter formulários de emprego. O cenário de infecção padrão é assim:

Um funcionário de RH recebe um e-mail de uma pessoa em busca de um cargo na empresa. O e-mail contém um link do Dropbox para um arquivo que finge ser o curriculum vitae, mas na realidade é um arquivo EXE.

Eles clicam no arquivo, mas nunca obtêm um currículo que deveriam encontrar lá. Em vez disso, eles recebem uma Tela Azul da Morte. Isso significa que o Petya entrou no PC do usuário e começou seu trabalho sujo.

Seu disco rígido pertence a nós

O ransomware comum geralmente criptografa arquivos de certos tipos - fotos, documentos do Office e assim por diante - e deixa o sistema operacional ileso para que a vítima possa usar o PC para pagar o resgate. Mas Petya é muito mais brutal, pois visa bloquear o acesso a todo o disco rígido.

Em suma, não importa como seu disco rígido está organizado, se há apenas uma partição ou mais, sempre há algum espaço em disco invisível para você chamado Master Boot Record (MBR). Ele contém todos os dados sobre o número e a organização das partições e também contém um código especial usado para iniciar a inicialização do sistema operacional - é chamado de carregador de boot.

Este carregador de boot sempre é executado ANTES do sistema operacional. E é exatamente isso que o Petya infecta: ele modifica o gerenciador de inicialização para que carregue o código malicioso do Petya em vez de qualquer sistema operacional instalado no PC.

Para o usuário, parece que o Check Disk está em execução, o que está praticamente OK após uma falha do sistema operacional. Mas o que o Petya realmente faz neste momento é criptografar a Tabela de arquivos mestre. Essa é mais uma parte oculta da vida pessoal do seu disco rígido. Esta tabela contém todas as informações sobre como os arquivos e pastas são alocados.

[Mergulhe fundo no mundo da tecnologia e cadastre-se no Avance Network a verdadeira comunidade criptografada]

Pense em seu disco rígido como uma vasta biblioteca que contém milhões ou até bilhões de itens. E a Master File Table é um índice de biblioteca. Bem, essa explicação é bastante simplificada, vamos torná-la mais realista: no seu disco rígido, os 'livros' raramente são armazenados como itens destacados, mas sim como páginas únicas ou mesmo pedaços de papel. Em montes. Não, não em uma ordem específica, é muito aleatório.

Talvez agora você tenha uma ideia geral de como seria desconfortável encontrar um único 'livro' se alguém tivesse roubado esse 'índice de biblioteca - isso é exatamente o que o Petya ransomware faz.

Uma vez feito isso, Petya revela sua verdadeira face que se parece com uma caveira construída com símbolos ASCII. Em seguida, a rotina normal começa: o malware exige que o usuário pague um resgate (0,9 bitcoins, que custa cerca de US $ 380) se você quiser descriptografar o disco rígido e recuperar seus arquivos.

A única diferença de outro ransomware é que o Petya está completamente offline, o que não é nenhuma surpresa, já que ele 'comeu' o sistema operacional. Portanto, o usuário precisa encontrar outro computador para pagar o resgate e obter seus dados de volta.

Fighting Petya

Infelizmente, como acontece com outros tipos recentes de ransomware, os pesquisadores ainda não encontraram uma maneira de descriptografar as informações criptografadas pelo Petya. No entanto, ainda há algumas coisas que você pode fazer para proteger a si mesmo e seus dados e algumas boas notícias sobre a distribuição de Petya.

A boa notícia é que o Dropbox removeu os arquivos maliciosos com o Petya de seu armazenamento em nuvem. Portanto, agora os bandidos precisam encontrar outra forma de distribuição. A má notícia é que provavelmente não demorará muito para fazer isso.

Então, vamos voltar à proteção. O que você pode fazer?

1. Quando o usuário vê a Tela Azul da Morte, todos os seus dados ainda não estão corrompidos, uma vez que Petya não começou a criptografar a Tabela de Arquivos Mestre. Portanto, se você vir que seu computador mostra um BSOD, reinicie e inicie o Check Disk - desligue-o imediatamente. Neste ponto, você ainda pode remover seu disco rígido, conectá-lo a outro computador (mas não o use como um dispositivo de inicialização!) E recuperar seus arquivos.

2. O Petya criptografa apenas o MFT, deixando os próprios arquivos intactos. Os arquivos ainda podem ser recuperados por especialistas em recuperação de discos rígidos. Este procedimento seria complexo e demorado e custaria muito dinheiro, mas basicamente é factível. No entanto, não tente fazer isso em casa - um erro pode fazer com que seus arquivos sejam perdidos para sempre.

O Avance Network é uma comunidade fácil de usar que fornece segurança de primeira e não requer muito conhecimento técnico. Com uma conta, você pode proteger sua comunicação e seus dispositivos. O Avance Network não mantém registros de seus dados; portanto, você pode ter certeza de que tudo o que sai do seu dispositivo chega ao outro lado sem inspeção.