5 ago. 2016

Satana: ransomware que cifra archivos y MBR

Kasperky informa de otro tipo sofisticado de ransomware. Se llama Satana (de "Satán"), lo que nos hace suponer que quizá su origen sea ruso. El troyano hace dos cosas: cifra archivos y corrompe el registro de arranque principal (MBR por sus siglas en inglés), bloqueando así el proceso de inicio de Windows.

Ya hemos hablado de troyanos que afectan el MBR, como el infame Petya. En ciertos aspectos, Satana se comporta de forma parecida, como por ejemplo al introducir su propio código en el MBR. Aun así, mientras Petya cifra la tabla maestra de archivos (MFT por sus siglas en inglés), Satana cifra el MBR. Para cifrar los archivos del PC, Petya necesita la ayuda de su compañero troyano Mischa. Satana realiza ambas tareas por sí mismo.

El MBR es una parte del disco duro que contiene la información sobre el sistema de archivos utilizado por las diferentes particiones del disco; de igual modo, contiene en qué partición se almacena el sistema operativo. Si el MBR se corrompe, o se cifra, el ordenador pierde el acceso a una información crítica: en qué partición se almacena el sistema operativo. Si el ordenador no puede encontrar el sistema operativo, no puede iniciarse. Los desarrolladores de este ransomware aprovecharon y agregaron capacidades de bootlocker. Se modifica el MBR para reemplazarlo con el código de la nota de rescate, cifran el original y lo mueven a otra parte.
El ransomware pide unos 0.5 bitcoins (aproximadamente 300 €) para descifrar el MBR y entregar la clave para descifrar los archivos afectados. Una vez se paga el rescate, los creadores de Satana dicen que restaurarán el acceso al sistema operativo y harán que todo sea como antes. O al menos eso dicen.

Una vez dentro del sistema, Satana analiza los discos y la red en busca de archivos con las extensiones .bak, .doc, .jpg, .jpe, .txt, .tex, .dbf, .db, .xls, .cry, .xml, .vsd, .pdf, .csv, .bmp, .tif, .1cd, .tax, .gif, .gbr, .png, .mdb, .mdf, .sdf, .dwg, .dxf, .dgn, .stl, .gho, .v2i, .3ds, .ma, .ppt, .acc, .vpd, .odt, .ods, .rar, .zip, .7z, .cpp, .pas, and .asm y empieza a cifrarlos. También añade una dirección de e-mail y tres guiones bajos al principio del nombre del archivo (por ejemplo, test.jpg pasa a ser [email protected]___test.jpg).

Las direcciones de e-mail sirven de información de contacto para las víctimas y se supone que han de escribir a dicha dirección para recibir instrucciones de pago y obtener la clave de descifrado. Hasta ahora, los investigadores han visto que se han usado seis direcciones de e-mail en esta campaña.

La buena noticia es que es posible saltarse parcialmente el bloqueo. Con ciertas habilidades, se puede reparar el MBR. Los expertos del blog The Windows Club han publicados unas instrucciones para restablecer el MBR mediante la herramienta de restauración de Windows. Aun así, dicha característica está diseñada para usuarios expertos que están acostumbrados a trabajar con el símbolo del sistema y con la utilidad bootrec.exe. Por ello, es improbable que un usuario corriente utilice este método complicado y seguramente se sienta incómodo al intentarlo.

La mala noticia es que aunque consigamos desbloquear Windows, seguimos teniendo la otra mitad del problema: los archivos cifrados. Aún no se dispone de cura para esta parte.

En este momento, Satana parece haber empezado su carrera como ransomware. No se ha extendido y los investigadores han encontrado algunos errores en su código, pero hay posibilidades de que mejore y de que con el tiempo se convierta en una amenaza seria.

Aquí está el análisis técnico de Satana.

Fuente: Kaspersky

0 comentarios:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info
Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.

Gracias por comentar!