Ainda esta semana falámos acerca de um tipo de ransomware que tem estado ao ataque em Portugal a fazer-se passar por um email enviado pelos CTT e hoje voltamos ao tema com uma nova variante de ransomware que se potencialmente poderá fazer ainda mais estragos, uma vez que actua directamente sobre o MBR de um disco rígido.
Tradicionalmente, os ransomware encriptam apenas ficheiros de documentos do utilizador, deixando o sistema operativo “intacto” (apesar de infectado) o que permite ao utilizador continuar a fazer operações como ir à internet e procurar soluções para o problema. Mas no caso deste Petya, as coisas ficam mais complicadas, pois ele infecta o MBR (Master Boot Record) e encripta a MFT (Master File Table), o que invalida o acesso a toda a informação do disco, impedindo que o próprio sistema operativo arranque.
De forma sucinta, podemos equiparar o MBR e MFT aos índices para todos os conteúdos que existem no disco. Neste caso, e numa primeira fase de ataque, em vez do ransomware perder tempo a encriptar todos os conteúdos, limita-se a encriptar os índices, o que tem um efeito quase idêntico: os dados continuam a estar no disco, mas não sabemos exactamente onde estão. Neste momento, é ainda possível recuperar os dados, pois o Petya aplicou um simples XOR ao MBR… Mas se os utilizadores reiniciarem o computador, irão deparar-se com um aparente CHKDSK a fazer uma suposta verificação da integridade do disco, mas que na realidade estará a encriptar o disco – não na sua totalidade, mas certamente de forma suficiente para complicar, ou inviabilizar, a recuperação dos dados.
… Em jeito de conclusão, e com cada vez mais casos de ransomware a surgirem a cada semana, a grande questão que se coloca é: a sua empresa tem os backups em dia?
A MHD disponibiliza soluções de backup de informação que poderão ajudar a sua empresa a prevenir-se contra este tipo de situações. Contacte-nos para ficar a conhecer as nossas soluções.