Mais um tipo de “ransonware” está em circulação, de acordo com especialistas da Kaspersky. Diferente do Ransom-U, que noticiamos hoje mais cedo, o código detectado como Trojan-Ransom.Win32.Seftad.a e Trojan-Ransom.Boot.Seftad.a. é baixado a partir de um cavalo de tróia.
Quando infectado por esta praga, o computador do usuário é reiniciado e, assim que o processo se inicia, uma mensagem avisa que o computador está travado e todos os discos rÃgidos foram criptografados. Os cibercriminosos então recomendam que não seja feita a tentativa de restauração dos dados, sob pena de perdê-los, e que o usuário deve navegar (a partir de outro computador, claro) por um site, pagar US$ 100 de fiança e usar a senha para iniciar o PC.
Caso o usuário tente chutar uma senha, ele tem três tentativas antes do computador sofrer um novo processo de reinÃcio e a mesma mensagem aparecer na tela. Para que isso aconteça, o que os cibercriminosos fizeram foi programar um malware capaz de mexer com o MBR (Master Boot Record), uma área especial do disco rÃgido acessada pelo computador antes de carregar o sistema operacional.
Malware de MBR não é novidade, todavia é incomum entre os ransomwares. Felizmente, comentou o especialista Denis Maslennikov, os cibercriminosos não criptografaram os dados do disco rÃgido como afirmam, apenas substituiram as informações do MBR para assustar suas vÃtimas.
Neste caso, basta uma solução de reparo da MBR (a própria Kaspersky possui o Rescue Disk 10, que pode ser baixado daqui) ou então tentar a senha aaaaaaciip, que restauraria o MBR original, segundo Maslennikov.
Ou usar o comando fixmbr quando der o boot pelo CD do Windows e selecionar a opção de Reparar utilizando o console