2016/04/02

Ransomware Petya encripta o MBR do disco rígido


Ontem falávamos de um ransomware que tem estado ao ataque em Portugal a fazer-se passar por um email enviado pelos CTT; hoje temos um com potencial para fazer ainda mais estragos, ao actuar directamente sobre o MBR de um disco rígido.

Tradicionalmente, os ransomware encriptam apenas ficheiros de documentos do utilizador, deixando o sistema operativo "intacto" (mas infectado) permitindo que o utilizador continue a fazer operações como ir à internet e procurar por solução para o problema. Mas no caso deste Petya, as coisas ficam mais complicadas, pois ele infecta o MBR (Master Boot Record) e encripta a MFT (Master File Table), o que invalida o acesso a toda a informação do disco, e impedindo que o próprio sistema operativo arranque.

De forma sucinta, podemos equiparar o MBR e MFT aos índices para todos os conteúdos que existem no disco. Neste caso, e numa primeira fase de ataque, em vez do ransomware perder tempo a encriptar todos os conteúdos, limita-se a encriptar os índices, o que tem um efeito quase idêntico: os dados continuam a estar no disco, mas não sabemos exactamente onde estão. Neste momento, é ainda possível recuperar os dados, pois o Petya aplicou um simples XOR ao MBR... mas se os utilizadores reiniciarem o computador, irão deparar-se com um aparente CHKDSK a fazer uma suposta verificação da integridade do disco, mas que na realidade estará a encriptar o disco (não na sua totalidade, mas certamente de forma suficiente para complicar, ou inviabilizar, a recuperação dos dados.)

... Em jeito de conclusão, e com cada vez mais casos de ransomware a surgirem a cada semana, a grande questão que se coloca é: têm os backups em dia?


Actualização: já foi lançada uma ferramenta para descobrir a password para descodificar os dados encritpados pelo Petya.

10 comentários:

  1. O filescavenger passa ao lado disso para ler um disco.

    ResponderEliminar
  2. Eu não tenho backups, uso cloud, esta feito...

    Uso OS X e tenho os updates em dia...

    Falam falam que o OS X e o iOS são inseguros, não vejo nada disso...

    ResponderEliminar
  3. Rui, um sistema operativo que não premeia as equipas externas que encontram bugs ou falhas de segurança é um sistema de alto risco.

    ResponderEliminar
    Respostas
    1. Nisso concordo, já era altura de eles darem recompensas, e não é que lhes falte dinheiro!

      Eliminar
  4. Eu tenho uma pergunta de "noob" relativamente a isto: se eu me deparar com um processo "CHKDSK" e rápidamente desconectar a corrente o que poderá ocorrer?

    ResponderEliminar
    Respostas
    1. Muito provavelmente, os ficheiros que ja tenham sido encryptados vao as urtigas e, como o MBR foi alterado para correr a aplicacao de encryptacao, a proxima vez que arrancares o disco o processo recomeca...

      Pelo que, sim, provavelmente e boa ideia desligar o PC e meter o disco noutro computador, salvando o que nao foi encryptado.

      Eliminar
    2. Ok. Obrigado pela resposta!

      Eliminar
  5. Rui, um colega meu apanhou uma coisa destas e até as pastas do Dropbox foram encriptadas... Ardeu com anos de trabalho e milhares de fotos de família...

    ResponderEliminar
  6. Este comentário foi removido pelo autor.

    ResponderEliminar
    Respostas
    1. Está correcto pois:
      "Step One: Simple encrypt the MBR".

      Só depois é que vai encriptar o resto dos ficheiros, no tal processo que se faz passar por um CHKDSK. :)


      Eliminar