Petya: se instala un nuevo ransomware en el registro de inicio y bloquea el disco duro

Un nuevo ransomware puede arraigar en el sistema MBR y evitar que se inicie. Para protegerse, simplemente ejecute los procedimientos habituales.

Hemos dicho muchas veces que el ransomware es probablemente el momento del malware. La razón es simple: un ransomware solicita un rescate por los archivos tomados como rehenes en el sistema, y ​​probablemente representa el tipo de software malicioso que proporciona al atacante una ganancia más simple y directa posible. Una vez que se arraiga en la máquina, bloquea algunos de los datos del disco duro y solicita un rescate para «liberar» la clave que se utiliza para decodificar los mismos.

Lawrence Abrams de BleepingComputer ha analizado un nuevo ransomware en circulación, conocido con el nombre de Petya. Su peculiaridad es que apunta a todo el disco, arranca el sistema con encriptación y protege el MFT , la Master File Table, o el lugar de un disco formateado como NTFS en el que se registra toda la información de cada archivo o carpeta. Hasta ahora, Petya se enviaba principalmente a agencias alemanas por correo electrónico a través de enlaces de Dropbox.

petyaEstá dirigido especialmente a los departamentos de recursos humanos, cuyos empleados son impulsados ​​a la ejecución del software. Si inicia el archivo adjunto ejecutable de Windows advierte del peligro potencial, pero si el usuario continúa con la instalación, Petya se infiltra en el MBR (Master Boot Record) de la computadora, el sistema se reinicia ejecutando un CHKDSK falso de Windows, con el mensaje : ”Uno de sus discos contiene errores y debe repararse. «

Completada la operación simulada, el software muestra una pantalla que muestra una calavera en caracteres ASCII anunciando que el usuario se ha convertido en «una víctima del ransomware Petya». No te pierdas la información habitual sobre los procedimientos para restaurar el uso normal del disco a través de algunos servicios ocultos de la red Tor. En el caso mostrado por los atacantes de Abrams habían exigido alrededor de 0,9 Bitcoin, unos 330 € al tipo de cambio actual, para la restauración del sistema.

Según lo informado por Abrams, la única forma de recuperar los datos del disco duro sería pagar a los agresores, aunque muchos sitios afirman que Petya también puede posicionarse después de su instalación corrigiendo los errores cometidos en el MBR: «Esto elimina la pantalla de bloqueo», nota Abrams. Pero no descifre la MFT y sus archivos y la instalación de Windows seguirá siendo inaccesible. La reparación del MBR solo es útil si no le interesa recuperar los archivos perdidos y está dispuesto a reinstalar Windows. «

Según Fabian Scherschell, de Heise Security, el cifrado realizado por Petya en su primera etapa en realidad es simplemente eludido. Si se toman en esta etapa, los datos se pueden recuperar fácilmente iniciando el sistema desde un dispositivo de almacenamiento diferente. UEFI también Petya puede simplemente dañar la información de arranque, lo que hace que sea imposible arrancar el automóvil pero no descifra ningún contenido almacenado en su unidad local.

¡Si te ha gustado vota con 5 Estrellas!
(Votos: 0 Promedio: 0)

Escribe Aquí Tu Comentario