Investigadores
de G-Data han informado de un nuevo malware, más concretamente un ransomware, que
bajo el nombre de Petya impide el acceso al disco duro y pide un rescate de más
de 300 euros.
Todos recordamos el ya famoso
"Virus de la policía",
claro ejemplo de ransomware, un tipo de malware que secuestra recursos de un
sistema informático y pide un rescate por su liberación.
Para llevar a cabo la infección, los
estafadores utilizan correos específicamente diseñados en los que se incluye un
enlace a un alojamiento en Dropbox, que simula ser un falso currículum. A
diferencia de otras ocasiones en que se han empleado vulnerabilidades para
lograr la infección del sistema, en esta ocasión los atacantes recurren al medio
más clásico y sencillo, la ingeniería social. El archivo descargado en realidad
es un ejecutable ("Bewerbungsmappe-gepackt.exe") que inicia la
descarga e instalación del troyano en el sistema.
Una vez instalado Petya sobrescribe
el MBR (Master Boot Record) del disco duro reemplazándolo con un cargador
malicioso y provoca el reinicio del ordenador. El MBR es la parte del sistema
que indica al ordenador como debe arrancar el sistema operativo. Con ello
Windows se reinicia con el cargador del ransomware, que muestra una pantalla
que simula ser un chkdsk. Sin embargo durante este falso Chkdsk lo que realiza
es el cifrado de la Master File Table (MFT).
Esto es, Petya no llega a cifrar
todo el disco duro como tal, lo cual llevaría demasiado tiempo, pero una vez
que la MFT queda cifrada (o corrompida) el sistema no puede saber donde se
alojan los archivos, por lo que quedan totalmente inaccesibles.
Tras
ello, como suele ser habitual en este tipo de malware se muestra un aviso
bastante alarmante. Ya que en vez del habitual arranque de Windows se muestra una
pantalla de color rojo con una calavera blanca en ASCCI.
Ahora al ransomware solo le queda mostrar una pantalla en la que se ofrecen las instrucciones para realizar la compra de una clave que permita recuperar los datos.
Ahora al ransomware solo le queda mostrar una pantalla en la que se ofrecen las instrucciones para realizar la compra de una clave que permita recuperar los datos.
Vídeo en el que se muestra la
actuación de Petya:
También hay que señalar que una
vez que el MBR queda modificado por Petya, también se impide el reinicio en Modo
Seguro.
Acto seguido, el usuario recibe
instrucciones explícitas sobre cómo hacer el pago, al igual que cualquier crypto-ransomware
que esté circulando en la actualidad: una lista de demandas, un enlace a Tor
Project y cómo llegar a la página de pago a través de él, y un código de
descifrado personal.
Las instrucciones para el pago se
encuentran en una web de la red Tor, donde se informa que el afectado deberá
pagar 0,90294 Bitcoins (unos 320 euros) para obtener la supuesta clave que
permita recuperar la información del disco duro.
Hasta el momento todos los
análisis realizados no se ha conseguido un método para recuperar la
información, por lo que como siempre la mejor medida de seguridad es la
precaución.
Según ha confirmado Trend Micro
Dropbox fue informada de los archivos maliciosos alojados en su servicio y la
compañía ya los ha eliminado. A pesar de ello, hay que tener presente que los
atacantes podrán emplear cualquier otro alojamiento o medio para el envío del
archivo malicioso.
Más información:
Petya Ransomware skips the Files and Encrypts
your Hard Drive Instead
Ransomware Petya encrypts hard
drives
PETYA Crypto-ransomware Overwrites MBR to Lock
Users Out of Their Computers
Antonio Ropero
Twitter: @aropero
¿Qué podría hacer un usuario domestico en caso de ser infectado? Solo le quedaría pagar para poder recuperarlo todo?
ResponderEliminarTener backup. Es mas barato reinstalar y volver a copiar la data que el costo de pagar rescate....ahora, si no tienes backup de los datos......estas al horno con papas.
ResponderEliminar