Bienvenido a Tecnohackers

Tecnohackers » Hacking y Seguridad » Hacking » Malware (Troyanos, virus, keylogger, stealer, rootkit, worm...) (Moderador: LaFamily)
 » 

El Ransomware Petya Usa Bloqueo De Pantalla De Tipo DOS y Evita El Arranque



Autor Tema: El Ransomware Petya Usa Bloqueo De Pantalla De Tipo DOS y Evita El Arranque  (Leído 452 veces)

Conectado zolo

  • Consigliere
  • Master
  • *****
  • Mensajes: 22634
  • Un Mes, Un Año o Toda Una Vida, Da Igual, Estare
Petya utiliza tácticas de la vieja escuela, que parece estar haciendo bien las cosas sin emplear un cifrado muy potente

Expertos en malware de la empresa de seguridad alemana G DATA han encontrado un nuevo tipo de ransomware encriptador que utiliza una pantalla de bloqueo de tipo DOS para evitar que los usuarios tengan acceso a sus archivos.

Los Lock-ransomware, también conocidos como locker, es el primer tipo de ransomware que existían antes del surgimiento del crypto-ransomware. Este tipo de ransomware no cifra los archivos, simplemente bloquea el acceso del usuario a sus datos.

En la mayoría de los casos, se trataba de una pantalla de bloqueo a nivel de escritorio, pero ha habido familias de ransomware que sólo muestran una ventana del navegador (llamado browser lockers o browser ransomware).

Con el paso del tiempo, los lock-ransomware resultaban fácil de quitar pero ahora las cyber-bandas por estos días están usando una variante del crypto-ransomware, debido a su eficiencia para "convencer" a las víctimas infectadas a pagar.

Con todo esto dicho, es extraño ver un lock-ransomware fuera de los dispositivos móviles donde están siendo más eficientes.

El ransomware Petya se distribuye a los departamentos de recursos humanos

El último lock-ransomware descubierto por los investigadores de seguridad es el ransomware Petya , que fue visto propagandose vía spear-phishing campañas dirigidas a departamentos de recursos humanos.

Los empleados de recursos humanos envían un correo electrónico con un enlace a un archivo almacenado en Dropbox, donde puede descargarse el CV del solicitante. Este archivo es un archivo EXE llamado portfolio-packed.exe, que si se ejecuta, inmediatamente bloqueará el sistema con una pantalla estándar azul de la muerte de Windows.

Antes de que esto suceda, G DATA señala que el ransomware altera el MBR del disco duro, previniendo que el SO arranque y secuestrando el proceso de inicio con una rutina maliciosa.

Petya mantiene los equipos bajo nivel de DOS hasta que las víctimas pagen el rescate



Tan pronto como el usuario reinicia el PC después de la pantalla azul, el equipo entrará en un proceso de comprobación de disco (CHKDSK) falso que, después de que termine, cargará la pantalla de bloqueo de Petya, dejandoló como si fuera un sistema bajo DOS.

Si reinicias el equipo una y otra vez siempre entrará en esta pantalla, que es (debemos admitir) un método bastante inteligente e innovadora de mostrar una pantalla de bloqueo.

Esta pantalla proporciona un vínculo al sitio de pago del ransomware, alojado en Tor. Después de que el usuario compra una clave de descifrado, podra entrar en la parte inferior de la pantalla de bloqueo DOS. Petya pretende haber cifrado los archivos del usuario, pero según G DATA no se puede verificar sus afirmaciones y que esto es probablemente una mentira.

G DATA está todavía analizando este nuevo tipo de ransomware y todavía no ha identificado un método de saltar el bloque de pantalla y arrancar el sistema operativo.

Además de Petya, los investigadores de seguridad de Cyphort también descubrieron una nueva versión de la familia Locker, otra variante del cripto-ransomware que utiliza pantallas de bloqueo de la vieja escuela en lugar del cifrado.


Fuente:@JoseAsuncion / forospyware
You are not allowed to view links. Register or Login




Tags:
Tags:

 


SMF 2.0.11 | SMF © 2015, Simple Machines
Paginas Afiliadas
Twitter - FaceBook - Daraxblog
Designed by Smf Personal