martes, 5 de julio de 2016

Nuevo ransomware cifra el sistema de arranque en PCs

El primer ataque denominado Petya, ahora se ha detectado esta nueva modalidad de malware bautizada como Satana que actúa como un ransomware peligroso al cifrar los archivos de los usuarios y los sistemas de arranque de sus equipos. Satana logra afectar al sector de arranque MBR de las computadoras, dejándolos sin posibilidad de iniciar el sistema operativo que tengan instalado. Según la firma de seguridad Malwarebytes, es funcional pero todavía de baja propagación.

El código MBR es almacenado en los sectores de arranque del disco duro, conteniendo información relacionada con las particiones del disco para permitir su inicio. Sin una adecuada estructura MBR, los equipos de cómputo desconocen qué particiones tienen sus discos duros y en cuál de ellas se encuentra el sistema operativo para poder iniciarlo.

Ahora bien, existen diferencias significativas entre Petya y Satana. Si Petya actúa de manera que reemplaza el MBR con el fin de poner en marcha un sistema de arranque personalizado que cifra la tabla maestra de archivos del sistema, Satana actúa de forma diferente. Simplemente reemplaza el MBR con su propio código y almacena una versión cifrada del registro de arranque original, por lo que puede restaurarse más tarde si la víctima paga el rescate. Esto deja al ordenador sin posibilidad de iniciarse, pero ofrece alternativas más factibles frente a cómo actúa Petya.

En mayo, se detectó que Petya se combinaba con un programa de ransomware denominado Mischa que también lleva a cabo un comportamiento más tradicional, cifrando los archivos personales de los usuarios directamente si no se pueden obtener privilegios de administrador para atacar los sectores de arranque MBR y MFT.

Satana cifra los archivos de usuario con extensiones específicas y espera pacientemente a que el primer reinicio se produzca, momento en el cual reemplaza al MBR. Es cuando el usuario ve una pantalla de inicio exigiendo un pago de un rescate de 0.5 Bitcoin, que equivalen a 340 dólares.

Dicha rutina hace que sea más difícil para los usuarios que no tienen conocimientos técnicos, restaurar su equipo, ya que les obliga a utilizar un equipo independiente para realizar el pago, ya que el ordenador infectado no es capaz de iniciar Windows. Por el momento, no han encontrado modo alguno de poder descifrar Satana de manera gratuita, destaca Lawrence Abrams, fundador del foro de soporte BleepingComputer.com, un blog de tecnología.

Es posible que algunos usuarios sean capaces de reparar el MBR de los equipos, pero haciendo uso de las opciones de recuperación del sistema Windows y trabajando además con la línea de comandos de Windows, con la herramienta de recuperación Bootrec.exe, por otro lado se pudo haber estropeado el arranque además de la partición y sería necesario instalar Windows desde cero.

La versión actual de Satana aún no ha sido distribuida de forma masiva, y los investigadores no esperan que hará porque el código aún no es maduro y tiene defectos. Sin embargo, creen que esta versión es probable que sirva como base para futuras mejoras. Computerworld México