Web Analytics
Conecta con nosotros

Noticias

Petya, el ransomware que ataca unidades enteras

Publicado el

Es una de las grandes plagas que está azotando al mundo de la seguridad informática, y la verdad es que resulta comprensible ya que el ransomware se ha convertido en uno de los tipos de malware más lucrativos del momento, una realidad que ha llevado a la creación de modelos cada vez más avanzados y problemáticos.

Petya es uno de los máximos exponentes y también uno de los más peligrosos, título que se ha ganado por méritos propios. Este ransomware no se limita a seguir los pasos de otros que secuestran y cifran archivos concretos para pedir después un rescate, normalmente en forma de pago con Bitcoin, sino que ataca las partes clave de la unidad de almacenamiento.

Dicho de otra forma, Petya «secuestra todo el disco duro», os lo explicamos con detalle. Una vez que el usuario lo ejecuta el malware toma el control y reinicia el equipo afectado, sobreescribiendo el MBR (registro de arranque maestro) en el proceso y cifrando la MFT (tabla maestra de archivos).

Con este proceso evita tener que cifrar un disco duro completo, cosa que le llevaría mucho tiempo, pero consigue un efecto parecido, ya que el disco duro ya no será capaz de identificar dónde se encuentran exactamente los archivos.

Una vez que se ha completado el ataque la víctima recibe un pantallazo con una calavera hecha con caracteres y el aviso de que para que todo vuelva a la normalidad debe pagar 0,99 bitcoins, unos 430 dólares.

Petya se propaga principalmente vía spam, así que cuidado con los correos electrónicos de fuentes desconocidas.

Más información: SlashGear.

Editor de la publicación on-line líder en audiencia dentro de la información tecnológica para profesionales. Al día de todas las tecnologías que pueden marcar tendencia en la industria.

8 comentarios
  • Solo encripta la tabla de archivos y el MBR…. noobs. Hay software para recuperar archivos. Y no creo que cualquier SO moderno deje sobreescribir el MBR y el MFT sin preguntar, al menos dos veces.

  • Amir Torrez

    Supongo que solo afecta al disco donde se ejecuta el SO, de ser así, supongo no afectaría un 2 disco, o podría ser similar con particiones, solo basta usar un livecd de alguna disto GNU/Linux o el mini xp de HirensBoot para recuperar los archivos o el arranque.

  • ads2801

    Los archivos no, porque según entiendo a parte de encriptarlos, como dice el archivo, también se carga el MBR, y lo sobreescribe, a parte de cifrar la MFT, osea que puedes decir adiós a tus archivos. No obstante, si tienes una copia de seguridad externa, obviamente dudo que afecte a ésta, aunque si lo hace estamos apañados…. Este lo que hace es encriptar todos tus archivos, a parte de la MBR y la MFT, claro…

  • ads2801

    No solo encripta la MFT, y la MBR, sobreescribiendolo, si no que tus archivos también, así que de noobs nada. ¿Te crees que el So te va a pedir permisos para sobreescribir el MBR? El propio ransownare reinicia el equipo, en dicho momento el so está inoperativo, y ahí es donde toca las particiones, y modifica el MFT y MBR, no es tan fácil como lo pintas, y sin un backup dudo mucho que recuperes tus archivos, no al menos así de fácil. El software para recuperar archivos, por si no lo sabes, lo único que hace, es recrear las relaciones y mandarles de nuevo la ruta al So. Cuando tu borras un archivo, si no lo sobreescribes, lo único que hace el SO, es borrar la ruta a dicho archivo, y si no escribes sobre él, el archivo sigue en el mismo sitio, porque solo ha borrado la relación, es decir la línea que une el archivo con el SO. Éstos programas, vuelven a decirle al So dónde se encuentra el archivo si no has sobreescrito sobre él, claro, pero si éste se encuentra encriptado, con programas como truecrypt, o un 3º te lo ha encriptado, mediante malware, poco o nada puedes hacer si no tienes un buen backup de tus archivos, no es tan fácil.

  • Según el artículo original solo encripta el MBR y la BD de archivos, no el archivo en sí, por lo tanto es rescatable. Solamente un formateo a bajo nivel lo haría imposible de rescatar, pues si bien el MFT te dice de donde inicia o donde termina el archivo, no es determinante para un rescate de al menos el 60 del contenido. Al menos en mi experiencia. Además, ningún SO moderno (Actualizado y con Antivirus) te deja reiniciar una PC sin aviso previo.

  • Amir Torrez

    Lee de nuevo el 4to párrafo, <>, solo jode el MBR y el MFT, aunque al parecer esto solo afecta a Windows, que es el que usa MBR.

  • Amir Torrez

    Y al parecer solo afecta a Windows, ya que jode el MBR, por lo que si se tiene dualboot con GRUB/BURG no habría tanto problema.

    El amigo ads2801 al parecer solo lee lo que quiere leer, y también parece que ni ha leído el artículo, no le des tanto rollo, en el 4to párrafo explica eso que dices de que no toca los archivos, solo el MFT y MBR.

  • Rodhos

    Los archivos siguen físicamente ahí. Con cualquier programa de recuperación de archivos borrados puedes rescatarlos.

Top 5 Cupones

Lo más leído