Descoberto novo ransomware que impede inicialização de computadores

Por Redação | em 28.03.2016 às 09h55 - atualizado em 31.03.2016 às 19h40

Malware

Um novo tipo de ransonware, batizado de Petya, foi descoberto no último fim de semana. A nova praga atua substituindo o registro mestre de inicialização (MBR) dos PCs afetados, deixando o sistema operacional incapaz de inicializar, segundo informaram pesquisadores da empresa de segurança digital Trend Micro.

O MBR é um código armazenado nos primeiros setores do disco rígido e contém informações sobre as partições do disco e parâmetros que auxiliam na inicialização do sistema operacional assim que o computador é ligado. Sem um MBR adequado, a máquina não sabe quais partições contém o sistema operacional e não sabe como iniciá-lo. Os pesquisadores dizem que o Petya é distribuído através de e-mails disfarçados de oferta de emprego.

A forma como é distribuído sugere que seus criadores tenham como alvo empresas, tendo em vista que as mensagens devem ser dirigidas a departamentos de recursos humanos. Os e-mails possuem um link para uma pasta no Dropbox compartilhada com um arquivo comprimido que se extrai automaticamente e exibe o CV de um candidato com uma foto falsa. Se o arquivo é baixado e executado, o ransomware se instalará na máquina. Assim, o programa malicioso irá reescrever o MBR do computador e provocará um erro crítico no Windows que fará com que o sistema reinicie.

Segundo o fórum do suporte técnico do Bleeping Computer, após a reinicialização o código MBR irá exibir uma operação de verificação falsa de disco no Windows que normalmente ocorre quando há um erro de disco rígido. Durante esse processo, o ransomware criptografa os arquivos MFT, um tipo de arquivo especial em partições NTFS que contém informações sobre todos os outros arquivos, como nome, tamanho, mapeamento entre outras. Ao criptografar apenas o MFT, o Petya impossibilita que o sistema operacional seja iniciado. Os dados do arquivo ainda podem ser lidos por meio de aplicações de recuperação de dados, mas reconstruir os arquivos reais seria um processo demorado e impreciso, em especial para arquivos fragmentados espalhados por diferentes regiões do disco rígido.

Após todo o processo ser realizado, o código MBR infectado pelo Petya exibirá uma mensagem de resgate acompanhada por uma caveira desenhada em ASCII. A mensagem instrui os usuários a acessarem o site dos atacantes na rede anônima Tor e lhes fornecer um código exclusivo que identifica o computador. O preço cobrado para liberar o computador é de 0,99 bitcoins, ou US$ 430.

Via PCWorld

Assine nosso canal e saiba mais sobre tecnologia!
Leia a Seguir

Comentários

Newsletter Canaltech

Receba nossas notícias por e-mail e fique
por dentro do mundo da tecnologia!

Baixe já nosso app Fechar

Novidade

Extensão Canaltech

Agora você pode ficar por dentro de todas as notícias, vídeos e podcasts produzidos pelo Canaltech.

Receba notificações e pesquise em nosso site diretamente de sua barra de ferramentas.

Adicionar ao Chrome