Os pesquisadores da Trend Micro descobriram uma nova variante de Ransomware chamada Petya, que é entregue aos usuários se disfarçando de um suposto currículo armazenado em sites populares de armazenamento na nuvem, como o Dropbox.

Utilizar um serviço na nuvem como o Dropbox de origem para ataques e infecções não é algo novo, contudo, utilizar esse serviço para promover infecções de ransomware parece ser uma nova técnica. Esse ransomware afeta o master boot record (MBR) do HD para bloquear os usuários. O processo de sobrescrever o MBR do sistema e colocar o aviso de resgate no boot da máquina torna essa variante única.

O golpe se inicia com os atacantes utilizando um email de phishing disfarçado para se parecer com alguém se aplicando para uma vaga de emprego. Esse email disponibiliza um link para o download de um suposto currículo armazenado na nuvem, no caso descoberto pela Trend Micro, era o Dropbox, mas ao invés de ser um currículo o link está conectado a um arquivo auto executável que libera um trojan no sistema. De acordo com os pesquisadores, o trojan cega qualquer programa de antivírus defendendo a máquina antes de realizar o download e executar o trojan. O preço para a liberação da máquina estava em 0,99 Bitcoins.

Uma vez executado, o Petya sobrescreve todo o MBR do HD para prevenir que o dispositivo da vítima inicie o Windows normalmente ou até mesmo que se inicie em modo de segurança. Se a vítima tentar dar o reboot ela vai se deparar com uma caveira desenhada em ASCII e receber um ultimato para o pagamento do resgate, caso contrário os dados serão permanentemente deletados. Foi observado que a ameaça é mais sofisticada que as anteriores, possivelmente pelo retorno financeiro deste tipo de ameaça.

Recomendação Real Protect

A Trend Micro possui assinaturas que previnem que esta ameaça infecte as estações e servidores. Recomendamos assistir o nosso último webinar que informa como os administradores da rede podem mitigar o risco do ambiente com relação ao ransomware, assista aqui.