Petya, un nuevo ransomware que impide el acceso al disco duro

Mas
Petya, un nuevo ransomware que impide el acceso al disco duro

Investigadores de G-Data han informado de un nuevo malware, más concretamente un ransomware, que bajo el nombre de Petya impide el acceso al disco duro y pide un rescate de más de 300 euros.

Todos recordamos el ya famoso "Virus de la policía", claro ejemplo de ransomware, un tipo de malware que secuestra recursos de un sistema informático y pide un rescate por su liberación.

Para llevar a cabo la infección, los estafadores utilizan correos específicamente diseñados en los que se incluye un enlace a un alojamiento en Dropbox, que simula ser un falso currículum. A diferencia de otras ocasiones en que se han empleado vulnerabilidades para lograr la infección del sistema, en esta ocasión los atacantes recurren al medio más clásico y sencillo, la ingeniería social. El archivo descargado en realidad es un ejecutable ("Bewerbungsmappe-gepackt.exe") que inicia la descarga e instalación del troyano en el sistema.

Una vez instalado Petya sobrescribe el MBR (Master Boot Record) del disco duro reemplazándolo con un cargador malicioso y provoca el reinicio del ordenador. El MBR es la parte del sistema que indica al ordenador como debe arrancar el sistema operativo. Con ello Windows se reinicia con el cargador del ransomware, que muestra una pantalla que simula ser un chkdsk. Sin embargo durante este falso Chkdsk lo que realiza es el cifrado de la Master File Table (MFT).

Esto es, Petya no llega a cifrar todo el disco duro como tal, lo cual llevaría demasiado tiempo, pero una vez que la MFT queda cifrada (o corrompida) el sistema no puede saber donde se alojan los archivos, por lo que quedan totalmente inaccesibles.

Tras ello, como suele ser habitual en este tipo de malware se muestra un aviso bastante alarmante. Ya que en vez del habitual arranque de Windows se muestra una pantalla de color rojo con una calavera blanca en ASCCI. Ahora al ransomware solo le queda mostrar una pantalla en la que se ofrecen las instrucciones para realizar la compra de una clave que permita recuperar los datos.

Vídeo en el que se muestra la actuación de Petya:


También hay que señalar que una vez que el MBR queda modificado por Petya, también se impide el reinicio en Modo Seguro.

Acto seguido, el usuario recibe instrucciones explícitas sobre cómo hacer el pago, al igual que cualquier crypto-ransomware que esté circulando en la actualidad: una lista de demandas, un enlace a Tor Project y cómo llegar a la página de pago a través de él, y un código de descifrado personal.

Las instrucciones para el pago se encuentran en una web de la red Tor, donde se informa que el afectado deberá pagar 0,90294 Bitcoins (unos 320 euros) para obtener la supuesta clave que permita recuperar la información del disco duro.

Hasta el momento todos los análisis realizados no se ha conseguido un método para recuperar la información, por lo que como siempre la mejor medida de seguridad es la precaución.

Según ha confirmado Trend Micro Dropbox fue informada de los archivos maliciosos alojados en su servicio y la compañía ya los ha eliminado. A pesar de ello, hay que tener presente que los atacantes podrán emplear cualquier otro alojamiento o medio para el envío del archivo malicioso.

Más información:

Petya Ransomware skips the Files and Encrypts your Hard Drive Instead
http://www.bleepingcomputer.com/news/security/petya-ransomware-skips-the-files-and-encrypts-your-hard-drive-instead/

Ransomware Petya encrypts hard drives
https://blog.gdatasoftware.com/2016/03/28213-ransomware-petya-encrypts-hard-drives

Suscríbase a nuestro Newsletter:

Click aquí!

Seguridad Administrada

La Mejor Solucion a su Medida



A menudo su empresa no cuenta con recursos o presupuestos asignado para proteger la seguridad de su información. Que esto no signifique que sus necesidades en materia de seguridad se hagan críticas.

Enlaces


Catalogo de productos Fortinet

Veeam

Eset

vmware

Exinda

Manage Engine

Sophos

Viamonte 723 piso 3ro. Of. 12 - C1053ABO
Ciudad Autónoma de Buenos Aires, Argentina.
Tel: +54 11 5218 4242 - Fax: +54 11 5218 4245
info@globalgate.com.ar
Política de USO GlobalGate - 2019 - Todos los derechos reservados