Mischa: o novo cúmplice do ransomware Petya

Petya e Mischa são amigos. Daqueles que fazem tudo juntos… Opa, isso não é uma história infantil, e sim mais um post do Kaspersky Daily. O que estamos querendo dizer

Petya e Mischa são amigos. Daqueles que fazem tudo juntos…

Opa, isso não é uma história infantil, e sim mais um post do Kaspersky Daily. O que estamos querendo dizer é que o Petya e o Mischa são ransomware que infectam um dispositivo ao mesmo tempo, em pacote.

Se você visita o nosso blog frequentemente, ou se acompanha notícias de cibersegurança, já conhece o Petya. Tratamos do assunto em dois posts, já que duas semanas depois que o ransoware apareceu, o usuário do Twitter @leo_and_Stone disponibilizou um decodificador para o Petya.

O Petya se destacou por não encriptar apenas arquivos, mas sim o disco rígido inteiro por meio da encriptação da Master File Table. Por esta razão, a vítima precisava de outro PC apenas para pagar o resgate. Mesmo depois da ferramenta de desbloqueio do leo_and_stone, outra máquina era precisa, mas nesse caso para desencriptar os arquivos sem pagar o resgate.

Conheça o Mischa
O Petya tinha suas fraquezas. Para fazer o trabalho sujo, precisava de privilégios de acesso. A não ser que um usuário concordasse, não poderia provocar dano algum. Por isso, os criadores o atualizaram com outro ransomware de nome tipicamente russo: Mischa.

Há duas diferenças entre eles. O Petya bloqueia todo o disco rígido, enquanto o Mischa criptografa certos tipos de arquivo. Provavelmente, são as únicas boas notícias. A notícia ruim é que, ao contrário do Petya, o Mischa não precisa de privilégios de administrador. Parece que se complementam.

O Mischa parece muito mais com ransomwares comuns e inclusive utiliza criptografia AES para bloquear arquivos do seu computador. O blog Bleeping Computer afirmou que ele adiciona uma extensão de 4 dígitos aos arquivos encriptados, então um arquivo teste.txt se torna teste.txt.7GP3.

A lista de tipos de arquivos-alvo do Mischa está longe de ser pequena: inclui arquivos .exe, o que significa impedir que usuários executem programas. Contudo, durante a encriptação ele ignora as pastas do Windows e dos navegadores instalados. Depois do mal feito, o Mischa cria dois arquivos com instruções de pagamento:

YOUR_FILES_ARE_ENCRYPTED.HTML e YOUR_FILES_ARE_ENCRYPTED.TXT.

Petya e Mischa são distribuídos por e-mails de phishing se passando por currículos. Quando o malware foi descoberto, estava oculto em um arquivo nomeado PDFBewerbungsmappe.exe (“PDF com lista de documentos para candidatura a vaga” em Alemão). O nome do arquivo em alemão e a forma de distribuição do arquivo indicam os alvos da campanha: empresas alemãs.

Quando um usuário tenta abrir um arquivo .exe que contém a dupla, uma janela de controle de contas do usuário aparece, questionando se o usuário cede acesso de administrador. Eis um daqueles momentos terríveis em que as duas opções são ruins. Se o usuário escolher “Sim”, o Petya é instalado. Se “Não”, o Mischa.

O Mischa parece ser ainda mais ganancioso que o Petya: exige 1,93 bitcoins de resgate, algo em torno de 875 dólares. O Petya exigia em média 0,9 bitcoin.

Um fato engraçado (se isso é possível): Petya é um nome russo, já Mischa por mais que também pareça se encaixar nessa categoria, não é. Alguém que de fato fala russo diria Misha, sem o “c” no meio – soa bem estranho com o “c”!

Infelizmente, não há uma ferramenta de desbloqueio disponível para o Mischa ainda. Há uma para o Petya, mas usá-la demanda certas habilidades em computação.

Para evitar ser vítima do Petya ou Mischa, ou qualquer ransomware, recomendamos as seguintes medidas:

  1. Faça backups. Com frequência. Se você possuir backups dos seus arquivos, você pode mandar esse ransomware… Bem, para onde você quiser.
  1. Não confie em ninguém e fique sempre alerta. Um currículo com .exe como extensão? No mínimo suspeito. Melhor não abrir.
  1. Instale uma boa solução de segurança. O Kaspersky Internet Security possui diversos níveis de proteção e não deixará o Mischa ou qualquer outro ransomware passar.

O Kaspersky Internet Security possui um componente antispam que protege seus dispositivos, não só do spam, mas também de e-mails de phishing. O antivírus detecta e se livra do Mischa, Petya, aka Trojan-Ransom.Win32.Mikhail e Trojan-Ransom.Win32.Petr.Também possui uma função que monitora atividades fora do comum (como tentativas de criptografia de arquivos) e as bloqueia, o System Watcher. O Kaspersky Total Security possui todas as funcionalidades já mencionadas, além de uma ferramenta para criação de backups automáticos.

Dicas