Novo ransomware usa criptografia ao nível do disco para o seu computador refém

0

A encriptação pode ser utilizada para proteger as suas ligações de olhos curiosos, manter os seus dados bancários protegidos, e muitas outras coisas fantásticas. Mas, no entanto, é também a chave para uma crescente forma de malware chamada ransomware. Quando um computador é infectado por um ransomware, os ficheiros do utilizador são encriptados, e apenas pagar o resgate (ransom) em Bitcoin lhe proporcionará a chaves para os desbloquear. Existe uma nova variante de ransomware a navegar pela internet, e esta leva as coisas ao extremo. Em vez de encriptar apenas os ficheiros, o malware Petya encripta todo o seu disco rígido.

O Petya é na verdade muito inteligente pela forma bloqueia um computador. Depois de estar instalado, o sistema irá reiniciar espontaneamente. Em vez de arrancar de modo normal, o computador irá carregar aquilo que parece ser o verificador de disco de sistema (CHKDSK). Tal como seria de esperar, este ecrã informa que desligar o computador no meio do processo será uma péssima ideia. No entanto, tudo isto não passa de uma cortina de fumo. Na realidade, o Petya está a aplicar uma encriptação a nível de disco para tornar o sistema inacessível. A esta altura, já o bloco principal do disco (MBR ou Master Boot Record) terá sido comprometido, pelo que encerrar não trará nenhuma benesse.

Quando o processo estiver completo, o utilizador receberá um tópico anuncio de ransomware: Os seus ficheiros estão encriptados – pague o resgate se desejar ter acesso aos seus dados novamente. Neste caso, o próprio disco (incluindo o Sistema Operativo) estarão inacessíveis até que a chave de desencriptação correcta seja introduzida. Um grande número de empresas alemãs já foi atingido pelo Petya, mas o valor requisitado é surpreendentemente baixo, apenas 0.9 Bitcoins (cerca de 330€). O pagamento tem de ser efectuado através de um serviço ocultado no Tor, que depois faculta a chave necessária.


(Vídeo em Inglês)

Esta abordagem de ransomware é especialmente perversa por alguns motivos. Com o sistema desactivado, existe pouca a nenhuma hipótese de o utilizador recuperar dados da unidade. O bloco principal do disco também está encriptado, pelo que não existe forma de o repor numa situação de normal funcionamento sem a chave de desencriptação. Muitos tipos de Ransomware têm de escolher ficheiro a ficheiro o que encriptar, e normalmente atacam ficheiros na pasta pessoal do utilizador. No entanto, é possível que as coisas importantes estejam noutra área do disco. Este não é um problema que o Petya enfrente uma vez que encripta o disco num tudo.

As boas notícias são que o Petya não se consegue instalar a si mesmo de forma furtiva. Por ter de fazer alterações ao ambiente de arranque, o Windows irá exibir um aviso de Segurança. Os utilizadores terão de o autorizar para que o Petya possa ganhar controlo sobre o sistema. Continuam a existir pessoas que o farão, mas pelo menos você ainda tem uma hipótese de para o Petya antes que seja demasiado tarde.

[ExtremeTech]

Leave A Reply