Ontem falávamos de um ransomware que tem estado ao ataque em Portugal a fazer-se passar por um email enviado pelos CTT; hoje temos um com potencial para fazer ainda mais estragos, ao actuar directamente sobre o MBR de um disco rígido.
Tradicionalmente, os ransomware encriptam apenas ficheiros de documentos do utilizador, deixando o sistema operativo "intacto" (mas infectado) permitindo que o utilizador continue a fazer operações como ir à internet e procurar por solução para o problema. Mas no caso deste Petya, as coisas ficam mais complicadas, pois ele infecta o MBR (Master Boot Record) e encripta a MFT (Master File Table), o que invalida o acesso a toda a informação do disco, e impedindo que o próprio sistema operativo arranque.
De forma sucinta, podemos equiparar o MBR e MFT aos índices para todos os conteúdos que existem no disco. Neste caso, e numa primeira fase de ataque, em vez do ransomware perder tempo a encriptar todos os conteúdos, limita-se a encriptar os índices, o que tem um efeito quase idêntico: os dados continuam a estar no disco, mas não sabemos exactamente onde estão. Neste momento, é ainda possível recuperar os dados, pois o Petya aplicou um simples XOR ao MBR... mas se os utilizadores reiniciarem o computador, irão deparar-se com um aparente CHKDSK a fazer uma suposta verificação da integridade do disco, mas que na realidade estará a encriptar o disco (não na sua totalidade, mas certamente de forma suficiente para complicar, ou inviabilizar, a recuperação dos dados.)
... Em jeito de conclusão, e com cada vez mais casos de ransomware a surgirem a cada semana, a grande questão que se coloca é: têm os backups em dia?
Actualização: já foi lançada uma ferramenta para descobrir a password para descodificar os dados encritpados pelo Petya.
O filescavenger passa ao lado disso para ler um disco.
ResponderEliminarEu não tenho backups, uso cloud, esta feito...
ResponderEliminarUso OS X e tenho os updates em dia...
Falam falam que o OS X e o iOS são inseguros, não vejo nada disso...
Rui, um sistema operativo que não premeia as equipas externas que encontram bugs ou falhas de segurança é um sistema de alto risco.
ResponderEliminarNisso concordo, já era altura de eles darem recompensas, e não é que lhes falte dinheiro!
EliminarEu tenho uma pergunta de "noob" relativamente a isto: se eu me deparar com um processo "CHKDSK" e rápidamente desconectar a corrente o que poderá ocorrer?
ResponderEliminarMuito provavelmente, os ficheiros que ja tenham sido encryptados vao as urtigas e, como o MBR foi alterado para correr a aplicacao de encryptacao, a proxima vez que arrancares o disco o processo recomeca...
EliminarPelo que, sim, provavelmente e boa ideia desligar o PC e meter o disco noutro computador, salvando o que nao foi encryptado.
Ok. Obrigado pela resposta!
EliminarRui, um colega meu apanhou uma coisa destas e até as pastas do Dropbox foram encriptadas... Ardeu com anos de trabalho e milhares de fotos de família...
ResponderEliminarEste comentário foi removido pelo autor.
ResponderEliminarEstá correcto pois:
Eliminar"Step One: Simple encrypt the MBR".
Só depois é que vai encriptar o resto dos ficheiros, no tal processo que se faz passar por um CHKDSK. :)