Ransomware ataca via Dropbox e resgate pode ultrapassar US$ 400

Um novo tipo de cripto-ransomware foi identificado pela Trend Micro e infecta o sistema via Dropbox. Apelidade do Petya, o malware pede de resgate, que deve ser pago via Tor, o valor de 0,99 bitcoins (BTC), ou cerca de US$ 431 – o montante pode dobrar caso o agamento não seja efetuado até o prazo estabelecido.

O Petya tem a capacidade de substituir o registro mestre de inicialização do sistema (MBR) afetado. Dessa forma, assim que o usuário liga o computador, em vez do usual ícone do Windows carregando, ele se depara com uma tela vermelha e branca piscando com uma caveira e com a mensagem: “pague uma certa quantia de bitcoins ou perca o acesso aos seus arquivos e computador”.

A Trend Micro observou que esta não é a primeira vez que um malware abusou de um serviço legítimo, no caso o Dropbox, para seu próprio ganho. No entanto, a empresa ressalta que o Petya é um dos raros malwares que levam à infecção por cripto-ransomware. Isso mostra um afastamento da cadeia de infecção típica, em que arquivos maliciosos são anexados a e-mails ou hospedados em sites maliciosos e entregues por meio de exploit kits.

 

O Petya é distribuído por um e-mail personalizado a partir de um requerente procurando emprego em uma empresa. Os usuários recebem então um link para um local de armazenamento no Dropbox, que supostamente permite à vítima que faça o download do falso currículo. Em uma das amostras analisadas pela Trend Micro, o link leva a uma pasta do Dropbox com dois arquivos, um que parece ser um CV e o outro, a foto do candidato. 

 

O arquivo baixado não é um currículo, mas sim um arquivo executável autoextraível leva à infecção do sistema. O cavalo de troia então, cega todos os programas antivírus instalados antes de baixar (e executar) o ransomware.

Uma vez executado, o Petya substitui o MBR em todo o disco rígido, fazendo com que o Windows falhe e exiba uma tela azul. Caso o usuário tente reiniciar seu PC, o MBR modificado vai impedi-lo de carregar o sistema operacional e exibirá a mensagem com a caveira descrita acima. Também não é possível reiniciar a máquina no modo de segurança.

O usuário então recebe instruções explícitas sobre o que fazer: uma lista de exigências, um link para o Projeto Tor, como chegar a página de pagamento, e um código pessoal de descriptografia.