Novo ransomware sobrescreve o setor de boot do disco rígido.

Petya Crypto-ransomware Substitui MBR para bloquear usuários fora de seus computadores

por Jasen Sumalapao

Como se a criptografia de arquivos e mantendo-os reféns não é suficiente, os cibercriminosos que criam e disseminação cripto-ransomware estão agora recorrendo a causar tela azul da morte (BSOD) e colocando suas notas de resgate na inicialização do sistema, como em, mesmo antes do carregamento do sistema operacional . Imagine transformar em seu computador e, em vez do ícone do Windows de carga habitual, você recebe uma tela vermelha e branca piscando com um crânio-e-crossbones vez.

Figura 1. vermelho de advertência Crânio-e-ossos cruzados de Petya

Esta é a rotina de uma nova variante cripto-ransomware apelidado de “Petya” (detectado pela Trend Micro como RANSOM_PETYA.A). Não só este malware tem a capacidade de substituir registro mestre de inicialização do sistema afetado (MBR), a fim de bloquear usuários fora, também é interessante notar que ele é entregue às vítimas através de um serviço de armazenamento em nuvem legítimo (neste caso, via Dropbox).

Fazemos notar que esta não é a primeira vez que o malware tenha abusado um serviço legítimo para seu próprio ganho; No entanto, esta é a primeira vez (em um longo período de tempo), que leva à infecção cripto-ransomware. É também um afastamento da cadeia de infecção típica, em que os arquivos maliciosos são anexados a e-mails ou hospedado em sites maliciosos e entregues por explorar kits.

rotina infecção

Alegadamente, Petya ainda é distribuído via e-mail. As vítimas receberão um e-mail personalizado para olhar e ler como uma missiva ligados às empresas a partir de um “requerente” procurando uma posição em uma empresa. Seria apresentar aos usuários um link para um local de armazenamento Dropbox, que supostamente iria deixar o download do usuário disse recorrente curriculum vitae (CV).

Em uma das amostras analisadas, o Dropbox pasta o link aponta contém dois arquivos: um arquivo executável auto-extraível, que pretende ser o CV e foto do candidato. Além disso escavação revelou que a foto é uma imagem que é provavelmente mais utilizada sem a permissão do fotógrafo.

petya_archive

Figura 2. O conteúdo da pasta Dropbox

Claro, o arquivo baixado não é na verdade um resumo de todo, mas sim um arquivo executável auto-extraível que então desencadearia um Trojan no sistema. O Trojan então cega todos os programas antivírus instalados antes de baixar (e execução) do ransomware Petya.

Os sintomas de infecção

Uma vez executado, Petya substituir o MBR de todo o disco rígido, fazendo com que o Windows para falhar e exibir uma tela azul. Caso o usuário tente reiniciar seu PC, o MBR modificado vai impedi-lo de carregar o Windows normalmente e, em vez cumprimentá-lo com um crânio ASCII e um ultimato: pagar até com uma certa quantidade de bitcoins ou perder o acesso a seus arquivos e computador.

Outra coisa a salientar aqui é que o MBR editado também não lhe permite reiniciar no modo de segurança.

O usuário é então dado instruções explícitas sobre como fazer isso, assim como qualquer cripto-ransomware atualmente fazendo as rondas: uma lista de exigências, um link para o Projeto Tor e como chegar a página de pagamento de usá-lo, e uma descriptografia pessoal código.

Figura 3. descodificação e de resgate instruções de pagamento de Petya

Olhando para o seu website Tor muito profissionalmente concebido, descobrimos que o preço do resgate está atualmente em 0,99 Bitcoins (BTC), ou US $ 431 – e que disse que o preço seria duplicada se o prazo na tela de pagamento é desperdiçada.

Figura 4. website profunda de Petya

Soluções de endpoint, como a Trend Micro  Trend Micro ™ de Segurança Smart Protection Suites , e  Worry-Free  Business Security  pode proteger os usuários e as empresas contra esta ameaça através da detecção de arquivos maliciosos e mensagens de e-mail, bem como bloqueio de todas as URLs maliciosos relacionados.

SHA1s para arquivos relacionados:

  • 39B6D40906C7F7F080E6BEFA93324DDDADCBD9FA
  • B0C5FAB5D69AFCC7FD013FD7AEF20660BF0077C2
  • 755f2652638f87ab517c608a363c4aefb9dd6a5a

Atualizar a partir de 28 de março de 2016, 00:30 PDT:

Informamos Dropbox sobre os arquivos maliciosos hospedados em seu serviço quando esta entrada foi publicada. Eles já removido o arquivo em questão, juntamente com outros links que armazenados no mesmo arquivo. Eles também emitiu a seguinte declaração:

Tomamos qualquer indicação de abuso da plataforma Dropbox muito a sério e temos uma equipe dedicada que trabalha o tempo todo para monitorar e evitar o uso indevido do Dropbox. Embora este ataque não envolve qualquer comprometimento de segurança Dropbox, investigamos e puseram em vigor procedimentos para fechar de forma proativa para baixo a atividade desonestos como este, logo que isso acontece.

http://blog.trendmicro.com/trendlabs-security-intelligence/petya-crypto-ransomware-overwrites-mbr-lock-users-computers/