29 mar. 2016

Petya, nuevo ransomware que evita el inicio de Windows

Como cifrar archivos y tomarlos de "rehenes" ya no es suficiente, los delincuentes comenzaron a difundir un nuevo ransomware que muestra una "pantalla azul de la muerte" (BSoD) y coloca su nota de rescate al inicio del sistema, antes de la carga del sistema operativo. Al encender la computadora, en lugar del habitual imagen de Windows, se obtendrá una pantalla roja y blanca con una calavera y tibias cruzadas.
Esta es la rutina del ransomware "Petya" que tiene la capacidad de sobrescribir el registro de arranque del sistema afectado (MBR) y bloquear el ingreso del usuario. Es interesante notar que el malware se estaba propagando a través del un servicio de almacenamiento de Dropbox. Luego de su descubrimiento, al empresa comenzó a bloquearlo pero no tardará en aparecer por otro medio de distribución.

Petya se distribuye por correo electrónico con la excusa de enviar el CV de un candidato para un puesto de trabajo. En el correo se presenta un enlace a Dropbox, que supuestamente le permite al usuario descargar el CV de dicho solicitante. La carpeta de Dropbox contiene dos archivos: un archivo ejecutable autoextraíble, que pretende ser el CV y una foto del "solicitante" (esta es una imagen común).

Por supuesto, el archivo descargado no es realmente un currículum, sino archivo ejecutable autoextraíble que instala el troyano en el sistema. Una vez ejecutado, Petya sobrescribe el MBR del disco duro, causando un Windows crash y una pantalla azul. El MBR editado también deshabilita el reinicio en modo seguro.

Al reiniciar la PC, el MBR modificado impedirá la carga del sistema operativo y aparecerá el ultimátum: pagar una cierta cantidad de bitcoins o perder el acceso a los archivos y a la computadora. Aquí también se ofrece un enlace a un sitio TOR que contiene la página de pago y un código de descifrado personal. El precio actual del rescate es de a 0,99 Bitcoin (BTC), unos US$431.

Fuente: TrendMicro

1 comentario:

  1. Interesante como estos delincuentes siempre van cambiando de modalidad, se agradece la informacion.

    ResponderEliminar

Gracias por dejar un comentario en Segu-Info
Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.

Gracias por comentar!