Etiqueta: MBR

Nuevo ransomware Satana cifra el sistema de arranque en PCs

El primer ataque denominado Petya, ahora se ha detectado esta nueva modalidad de malware bautizada como聽Satana聽que act煤a como un聽ransomware peligroso聽al cifrar los archivos de los usuarios y los sistemas de arranque de sus equipos. Satana logra afectar al sector de聽arranque MBR聽de las computadoras, dej谩ndolos sin posibilidad de iniciar el sistema operativo que tengan instalado. Seg煤n la firma de seguridad Malwarebytes, es funcional pero todav铆a de baja propagaci贸n.

El c贸digo MBR聽es almacenado en los sectores de arranque del disco duro, conteniendo informaci贸n relacionada con las particiones del disco para permitir su inicio. Sin una adecuada estructura MBR,聽los equipos de c贸mputo desconocen qu茅 particiones tienen sus discos duros y en cu谩l de ellas se encuentra el sistema operativo para poder iniciarlo.

Ahora bien, existen diferencias significativas entre聽Petya y Satana.聽Si Petya act煤a de manera que reemplaza el聽MBR聽con el fin de poner en marcha un sistema de arranque personalizado que cifra la tabla maestra de archivos del sistema,聽Satana聽act煤a de forma diferente. Simplemente reemplaza el MBR con su propio c贸digo y almacena una versi贸n cifrada del registro de arranque original, por lo que puede restaurarse m谩s tarde si la v铆ctima paga el rescate. Esto deja al ordenador sin posibilidad de iniciarse, pero ofrece alternativas m谩s factibles frente a c贸mo act煤a Petya.

En mayo, se detect贸 que聽Petya聽se combinaba con un programa de聽ransomware denominado Mischa聽que tambi茅n lleva a cabo un comportamiento m谩s tradicional, cifrando los archivos personales de los usuarios directamente si no se pueden obtener privilegios de administrador para atacar聽los sectores de arranque MBR y MFT.

Satana cifra los archivos de usuario con extensiones espec铆ficas y espera pacientemente a que el primer reinicio se produzca, momento en el cual reemplaza al MBR. Es cuando el usuario ve una pantalla de inicio exigiendo un pago de un rescate de聽0.5 Bitcoin, que equivalen a 340 d贸lares.

Dicha rutina hace que sea m谩s dif铆cil para los usuarios que no tienen conocimientos t茅cnicos, restaurar su equipo, ya que les obliga a utilizar un equipo independiente para realizar el pago, ya que el ordenador infectado no es capaz de iniciar聽Windows. Por el momento, no han encontrado modo alguno de poder descifrar聽Satana聽de manera gratuita, destaca Lawrence Abrams, fundador del foro de soporte聽BleepingComputer.com,聽un blog de tecnolog铆a.

Es posible que algunos usuarios sean capaces de聽reparar el MBR de los equipos,聽pero haciendo uso de las opciones de recuperaci贸n del sistema聽Windows聽y trabajando adem谩s con la l铆nea de comandos de聽Windows, con聽la herramienta de recuperaci贸n Bootrec.exe, por otro lado se pudo haber estropeado el arranque adem谩s de la partici贸n y ser铆a necesario instalar Windows desde cero.

La versi贸n actual de聽Satana聽a煤n no ha sido distribuida de forma masiva, y los investigadores no esperan que har谩 porque el c贸digo a煤n no es maduro y tiene defectos. Sin embargo, creen que esta versi贸n es probable que sirva como base para futuras mejoras.

IDG News Services, Lucian Constantin