Etiqueta: MBR

Nuevo ransomware Satana cifra el sistema de arranque en PCs

El primer ataque denominado Petya, ahora se ha detectado esta nueva modalidad de malware bautizada como¬†Satana¬†que act√ļa como un¬†ransomware peligroso¬†al cifrar los archivos de los usuarios y los sistemas de arranque de sus equipos. Satana logra afectar al sector de¬†arranque MBR¬†de las computadoras, dej√°ndolos sin posibilidad de iniciar el sistema operativo que tengan instalado. Seg√ļn la firma de seguridad Malwarebytes, es funcional pero todav√≠a de baja propagaci√≥n.

El código MBR es almacenado en los sectores de arranque del disco duro, conteniendo información relacionada con las particiones del disco para permitir su inicio. Sin una adecuada estructura MBR, los equipos de cómputo desconocen qué particiones tienen sus discos duros y en cuál de ellas se encuentra el sistema operativo para poder iniciarlo.

Ahora bien, existen diferencias significativas entre¬†Petya y Satana.¬†Si Petya act√ļa de manera que reemplaza el¬†MBR¬†con el fin de poner en marcha un sistema de arranque personalizado que cifra la tabla maestra de archivos del sistema,¬†Satana¬†act√ļa de forma diferente. Simplemente reemplaza el MBR con su propio c√≥digo y almacena una versi√≥n cifrada del registro de arranque original, por lo que puede restaurarse m√°s tarde si la v√≠ctima paga el rescate. Esto deja al ordenador sin posibilidad de iniciarse, pero ofrece alternativas m√°s factibles frente a c√≥mo act√ļa Petya.

En mayo, se detectó que Petya se combinaba con un programa de ransomware denominado Mischa que también lleva a cabo un comportamiento más tradicional, cifrando los archivos personales de los usuarios directamente si no se pueden obtener privilegios de administrador para atacar los sectores de arranque MBR y MFT.

Satana cifra los archivos de usuario con extensiones específicas y espera pacientemente a que el primer reinicio se produzca, momento en el cual reemplaza al MBR. Es cuando el usuario ve una pantalla de inicio exigiendo un pago de un rescate de 0.5 Bitcoin, que equivalen a 340 dólares.

Dicha rutina hace que sea más difícil para los usuarios que no tienen conocimientos técnicos, restaurar su equipo, ya que les obliga a utilizar un equipo independiente para realizar el pago, ya que el ordenador infectado no es capaz de iniciar Windows. Por el momento, no han encontrado modo alguno de poder descifrar Satana de manera gratuita, destaca Lawrence Abrams, fundador del foro de soporte BleepingComputer.com, un blog de tecnología.

Es posible que algunos usuarios sean capaces de reparar el MBR de los equipos, pero haciendo uso de las opciones de recuperación del sistema Windows y trabajando además con la línea de comandos de Windows, con la herramienta de recuperación Bootrec.exe, por otro lado se pudo haber estropeado el arranque además de la partición y sería necesario instalar Windows desde cero.

La versi√≥n actual de¬†Satana¬†a√ļn no ha sido distribuida de forma masiva, y los investigadores no esperan que har√° porque el c√≥digo a√ļn no es maduro y tiene defectos. Sin embargo, creen que esta versi√≥n es probable que sirva como base para futuras mejoras.

IDG News Services, Lucian Constantin