Misha: o ransomware cúmplice do Petya

mischa-ransomwarePetya e o Mischa são ransomwares que infectam um dispositivo ao mesmo tempo, na forma de um pacote.

Se você visita o nosso blog frequentemente, ou se acompanha notícias de cibersegurança, já conhece o Petya.
O Petya se destacou por não encriptar apenas arquivos, mas sim o disco rígido inteiro por meio da encriptação da Master File Table. Por esta razão, a vítima precisava de outro PC apenas para pagar o resgate. Mesmo depois da ferramenta de desbloqueio do leo_and_stone, outra máquina era precisa, mas nesse caso para desencriptar os arquivos sem pagar o resgate.

Conheça o Mischa

O Petya tinha suas fraquezas. Para fazer o trabalho sujo, precisava de privilégios de acesso. A não ser que um usuário concordasse, não poderia provocar dano algum. Por isso, os criadores o atualizaram com outro ransomware de nome tipicamente russo: Mischa.

Há duas diferenças entre eles. O Petya bloqueia todo o disco rígido, enquanto o Mischa criptografa certos tipos de arquivo. Provavelmente, são as únicas boas notícias. A notícia ruim é que, ao contrário do Petya, o Mischa não precisa de privilégios de administrador. Parece que se complementam.

O Mischa parece muito mais com ransomwares comuns e inclusive utiliza criptografia AES para bloquear arquivos do seu computador. O blog Bleeping Computer afirmou que ele adiciona uma extensão de 4 dígitos aos arquivos encriptados, então um arquivo teste.txt se torna teste.txt.7GP3.

A lista de tipos de arquivos-alvo do Mischa está longe de ser pequena: inclui arquivos .exe, o que significa impedir que usuários executem programas. Contudo, durante a encriptação ele ignora as pastas do Windows e dos navegadores instalados. Depois do mal feito, o Mischa cria dois arquivos com instruções de pagamento:

YOUR_FILES_ARE_ENCRYPTED.HTML e YOUR_FILES_ARE_ENCRYPTED.TXT.

Petya e Mischa são distribuídos por e-mails de phishing se passando por currículos. Quando o malware foi descoberto, estava oculto em um arquivo nomeado PDFBewerbungsmappe.exe (“PDF com lista de documentos para candidatura a vaga” em Alemão). O nome do arquivo em alemão e a forma de distribuição do arquivo indicam os alvos da campanha: empresas alemãs.

Quando um usuário tenta abrir um arquivo .exe que contém a dupla, uma janela de controle de contas do usuário aparece, questionando se o usuário cede acesso de administrador. Eis um daqueles momentos terríveis em que as duas opções são ruins. Se o usuário escolher “Sim”, o Petya é instalado. Se “Não”, o Mischa.

Pagamento com bitcoins

O Mischa parece ser ainda mais ganancioso que o Petya: exige 1,93 bitcoins de resgate, algo em torno de 875 dólares. O Petya exigia em média 0,9 bitcoin.

Um fato engraçado (se isso é possível): Petya é um nome russo, já Mischa por mais que também pareça se encaixar nessa categoria, não é. Alguém que de fato fala russo diria Misha, sem o “c” no meio – soa bem estranho com o “c”!

Infelizmente, não há uma ferramenta de desbloqueio disponível para o Mischa ainda. Há uma para o Petya, mas usá-la demanda certas habilidades em computação.

Para evitar ser vítima do Petya ou Mischa, ou qualquer ransomware, recomendamos as seguintes medidas:

Faça backups. Com frequência. Se você possuir backups dos seus arquivos, você pode mandar esse ransomware… Bem, para onde você quiser.
Não confie em ninguém e fique sempre alerta. Um currículo com .exe como extensão? No mínimo suspeito. Melhor não abrir.
Instale uma boa solução de segurança.

Agradecemos ao Davi, colaborador amigo do seu micro seguro, pela referência a essa notícia.

Fonte: Kaspersky blog

Comentários encerrados.

%d blogueiros gostam disto: