jueves, 31 de marzo de 2016

Descubierto nuevo ransomware que se instala en el sector de arranque


Petya es un nuevo ransomware descubierto recientemente especializado en bloquear el acceso al ordenador hasta que pague una cierta cantidad de dinero. Este tipo de virus son los denominados ransomware criptograficos, que cifra el contenido del equipo infectado y lo hace inaccesible, hasta que page un rescate para recurar el acceso a los datos.

Petya, a diferencia de los demás, ataca el disco de arranque, cifrando la tabla maestra de archivos (MFT, Master File Table). Este virus esta mas orientado a trabajadores de empresas y se transmite a traves de mensajes de correo electronico con enlaces de Dropbox. En ese enlace a Dropbox, el trabajador debe instalar una aplicacion para poder seguir trabajando.

Al pinchar sobre el ejecutable, el ransomware se mete en el registro de arranque principal y reinicia el sistema mostrando una falsa ventana que en teoria esta haciendo una comprobacion de disco pero que en realidad esta cifrando los datos del dico duro.


Al terminar, Petya muestra una pantalla como la de arriba y al pulsar una tecla te da las instrucciones de como pagar a traves de dos paginas de TOR para recuperar el acceso al sistema.

Actualmente la unica forma de recuperar el acceso a los datos es pagar, pero en algunos sitios comentan que se puede solucionar reparando el sector de arranque principal del disco. 

Por otro lado, un medio alemán especializado en seguridad informática afirma que lo que usa Petya en una primera fase es un simple cifrado XOR en el sector de arranque, por lo que se si detiene a tiempo, es posible recuperar los datos del sistema afectado arrancándolo desde otro disco y haciendo una copia de seguridad del contenido.

Lawrence Abrams, autor del vídeo de arriba, comenta que esta maniobra "elimina la pantalla de bloqueo, pero no el cifrado de la tabla maestra de archivos, por lo que tanto Windows como tus datos seguirían siendo inaccesibles. Reparar el sector de arranque del disco es buena idea sólo si no te importa reinstalar Windows y perder tus datos".

Las empresas son las nuevas victimas de ransomwares, ya que las perdidas potenciales por este tipo de ataques es suficiente para que el beneficio sea mucho mayor y mas rapido que para un usuario domestico, aunque nunca deberiiamos bajar la guardia. Cosas como no abrir correos de desconocidos, mantener el sistema operativo o descargar software solo de fuentes oficiales nos ayudara prevenir este tipo de infecciones.

No hay comentarios:

Publicar un comentario