PETYA, el crypto-ransomware que sobrescribe el MBR y bloquea el acceso a los usuarios a sus ordenadores

Jasen Sumalapao, Trend Micro

Actualidad

29 Junio, 2017

Por si el cifrado de archivos y la toma de rehenes no fuera suficiente, los cibercriminales que crean y difunden crypto-ransomware ahora recurren a provocar la pantalla azul de la muerte (BSoD) y a incluir sus notas de petición de rescate al iniciarse el sistema, incluso antes de que se cargue el sistema operativo. Imagínese encender el ordenador y que en lugar del habitual icono de carga de Windows aparezca una pantalla de color rojo y blanco en la que destella una calavera en su lugar.

Ésta es la rutina de una nueva variante de crypto-ransomware denominado "PETYA" (identificado por Trend Micro comoRANSOM_PETYA.A). No sólo este malware tiene la posibilidad de sobrescribir el registro de arranque principal, también conocido como registro de arranque maestro (MBR) del sistema afectado con el fin de bloquear el acceso a los usuarios, también es interesante observar que para llegar a las víctimas utiliza un servicio de almacenamiento cloud legítimo (en este caso lo hace a través de Dropbox).

El equipo de investigación de Trend Micro ha observado que no se trata de la primera vez que el malware abusa de un servicio legítimo para su propio beneficio; sin embargo, ésta es la primera vez (desde hace un largo período de tiempo) que provoca la infección por crypto-ransomware. También es una desviación de la cadena de infección típica, en la que los archivos maliciosos están asociados a mensajes de correo electrónico o alojados en sitios maliciosos y son entregados por kits de exploits.

Rutina de infección

Según se informa, PETYA todavía se distribuye por correo electrónico. Las víctimas recibirán un email personalizado que invita a leer una aparente carta o mensaje de negocios en el que un "aspirante" busca un puesto de trabajo en una empresa. Se presentaría a los usuarios con un hipervínculo a un lugar de almacenamiento de Dropbox, que supuestamente permitiría la descarga del currículum vitae (CV) del candidato. 

En una de las muestras analizadas, en la carpeta de Dropbox los puntos de enlace contienen dos archivos: un archivo ejecutable autoextraíble, que pretende ser el CV, y las fotos del solicitante. Profundizando más, se ha encontrado que la foto es una imagen de stock que es muy probable que se utilice sin el permiso del fotógrafo.

Por supuesto, el archivo descargado no es en realidad un CV, sino más bien un archivo ejecutable de extracción automática que después desencadena la descarga de un troyano en el sistema. El troyano ciega a los programas antivirus instalados antes de la descargar (y ejecutar) el ransomware PETYA.

 

Síntomas de la infección

Una vez ejecutado, PETYA sobrescribe el MBR de todo el disco duro, haciendo que Windows se cuelgue y muestre una pantalla azul. En caso de que el usuario trate de reiniciar su PC, el MBR modificado le impedirá la carga de Windows con normalidad y, en cambio, le dará la bienvenida con una calavera ASCII y un ultimátum: pague una cierta cantidad de bitcoins o perderá el acceso a sus archivos y al equipo.

Otra cosa a destacar es que el MBR editado tampoco permite reiniciar en Modo Seguro.

Acto seguido, el usuario recibe instrucciones explícitas sobre cómo hacer el pago, al igual que cualquier crypto-ransomware que esté circulando en la actualidad: una lista de demandas, un enlace a Tor Project y cómo llegar a la página de pago a través de él, y un código de descifrado personal.

Viendo la alta profesionalidad del diseño de la web Tor, descubrimos que su precio de rescate se encuentra actualmente en 0,99 Bitcoin (BTC), o 431 dólares, y que dicho precio podría duplicarse si se agota el plazo indicado en la pantalla.

Las soluciones para el endpoint de Trend Micro como Trend Micro™ Security,  Smart Protection Suites, y Worry-Free™ Business Security pueden proteger a los usuarios finales y empresas de esta amenaza mediante la detección de los archivos maliciosos y mensajes de email, así como con el bloqueo de todas las URLs maliciosas relacionadas.

Impacto

¿Qué te pareció este artículo?

  • 20
  • 0

Recomendar

Recomendar

Si te pareció interesante este artículo, sé el primero en recomendarlo.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Relacionados

España, tercer país con más ataques de hackers a nivel mundial

Con un mundo cada vez más conectado, la ciberseguridad se ha convertido en un aspecto...

  • 10 Octubre, 2017
  • 1 comentario

El ciberataque a Yahoo que afectó a sus 3.000MM de cuentas

Yahoo ha admitido este martes que todas las cuentas de sus usuarios — 3.000 millones en...

  • 6 Octubre, 2017
  • No hay comentarios

Suscribete

Toda la actualidad del ecommerce en tu e-mail

Patrocinado por: Patrocinador

Electrocosto.com experimenta un aumento de la conversión del 71% en el inicio del Black Week

DHL apuesta por el ecommerce y prepara una inversión de 100 MM€ hasta el año 2020

Ecommerce Review de Casa del Libro: Descubriendo la biblioteca digital más potente

e-log apuesta por la tecnología con el lanzamiento de Appelog

El comercio creará más de 30.000 puestos de trabajo en la campaña de Navidad

Las ventas de los ecommerce españoles superarán los 1.400 MM€ este Black Friday

Mequedouno incorpora en su web a Dia e-shopping, la empresa de productos de tecnología y hogar del GRUPO DIA

El Black Friday también vale para la alimentación

ICP Logística: preparados para el desafío del Black Friday

La celebración del Singles Day impone cambios en la estrategia comercial

La importancia de una buena estrategia de marketing como uno de los pilares fundamentales para un negocio gastronómico

El e-commerce sigue creciendo en España aunque las micropymes aun tienen poca presencia en la web

Por qué los retailers online necesitan optimizar las imágenes para mejorar la participación

Nike fusiona la experiencia digital y física en sus tiendas

Ecomm&Brunch Internacionalización; Xavier Pladellorens, CEO de Deporvillage (vídeo)

Del ON al OFF (video): Padel Nuestro, Vinopremier y Electrocosto

MCC 2017(video): Case Study: Adyen + eMov

Expertos del sector debatieron en el MCC17 la irrupción del móvil en los métodos de pago (video)

Ecommbrunch Holiday Season: Mesa Redonda sobre retos en la campaña de Navidad

Ecommbrunch Holiday Season: ¿Cómo sobrevivir a una campaña de Navidad?

Ecommbrunch Holiday Season: Keynote Fnac

Más leídas

Se acabó el chollo: Hacienda gravará al 4% las transacciones en plataformas como eBay, Vibbo o Wallapop

Se acabó el chollo: Hacienda gravará al 4% las transacciones en plataformas como eBay, Vibbo o Wallapop

25.300 millones de dólares en un día; Alibaba pulveriza su record de ventas durante el Singles Day

25.300 millones de dólares en un día; Alibaba pulveriza su record de ventas durante el Singles Day

Tendencias en ecommerce para 2018 y más allá; Emoción y miedo a partes iguales

Tendencias en ecommerce para 2018 y más allá; Emoción y miedo a partes iguales

Ecommerce Review de Casa del Libro: Descubriendo la biblioteca digital más potente

Ecommerce Review de Casa del Libro: Descubriendo la biblioteca digital más potente

Amazon comienza a buscar la rentabilidad de su servicio Prime Now en España

Amazon comienza a buscar la rentabilidad de su servicio Prime Now en España

Carrefour lanza la mayor bodega online de España

Carrefour lanza la mayor bodega online  de España

DHL apuesta por el ecommerce y prepara una inversión de 100 MM€ hasta el año 2020

DHL apuesta por el ecommerce y prepara una inversión de 100 MM€ hasta el año 2020

Decathlon potencia su estrategia omnichannel con 200 nuevos puntos de recogida para compras online

Decathlon potencia su estrategia omnichannel con 200 nuevos puntos de recogida para compras online

El gran show del Singles Day que vende más que el Black Friday y el Cyber Monday juntos

El gran show del Singles Day que vende más que el Black Friday y el Cyber Monday juntos

Un 11% de las compras en España ya son online

Un 11% de las compras en España ya son online

Último número

Optimization WordPress Plugins & Solutions by W3 EDGE