Home » Noticias » Noticias Comunes » Petya RansomWare no codifica los archivos y codifica el disco duro.

Petya RansomWare no codifica los archivos y codifica el disco duro.

Publicado en: Noticias, Noticias Comunes

Todos conocemos ya el celebre “virus” que nos codifica los archivos de datos perdiendo toda posibilidad de leer información de los mismos. Ahora tenemos una versión mucho más moderna del mismo que en vez de codificar los archivos codifica las particiones del disco duro haciendo imposible acceder a los datos de los mismos. Esto implica que cualquier disco externo o dispositivo de red NAS conectado donde se realizan copias de seguridad pueda ser también codificado con el riesgo que esto supone. En el momento de escribir estas líneas, los pagos de rescate se encuentran en ~ 0,9 bitcoins y no hay manera de descifrar la unidad de forma gratuita.

Este ransomware actualmente está siendo distribuido a través de mensajes de correo electrónico de recursos humanos. Estos correos electrónicos contienen enlaces Dropbox para supuestas aplicaciones que descargan un archivo que cuando se ejecutan instalará el Petia ransomware en el equipo. Un nombre de archivo de ejemplo para el instalador es  Bewerbungsmappe-gepackt.exe.

Es importante tener en cuenta que hay un montón de mala información en la web acerca de cómo la forma de reparar su computadora cuando ha sido cifrado por Petia. Muchos de estos sitios afirman que se puede utilizar el comando fixmbr o reparar el MBR para eliminar la infección. A pesar de este hecho se retire la pantalla de bloqueo, no va a descifrar su MFT y por lo tanto sus archivos y Windows seguirá siendo inaccesible. Sólo reparar el MBR si no se preocupan por la pérdida de datos y desea volver a instalar Windows.

El proceso de cifrado Petia ransomware

Cuando instala por primera vez, el ransomware Petia reemplazará existente registro maestro de arranque de la unidad de arranque o MBR, con un código malicioso. El MBR es la información colocada en el comienzo de un disco duro que le dice al ordenador cómo debe arrancar el sistema operativo. A continuación, hacer que Windows se reinicie con el fin de ejecutar el nuevo cargador de ransomware malicioso, que mostrará una pantalla simulando ser CHKDSK. Durante esta etapa CHKDSK falsa, Petia cifrará la tabla maestra de archivos en el disco. Una vez que el MFT está dañado, o cifrado, en este caso, el ordenador no sabe dónde se encuentran los archivos, o si es que existen, y por lo tanto no son accesibles.

fake chkdsk - Petya RansomWare no codifica los archivos y codifica el disco duro.

Una vez que se haya completado el CHKDSK falsa, se le presentará con una pantalla de bloqueo que muestra instrucciones sobre cómo conectarse a un sitio TOR y un identificador único que debe utilizar en el sitio para hacer el pago del rescate. Una vez que se ha realizado un pago de un rescate, usted recibirá una contraseña que pueda entrar en esta pantalla para descifrar su ordenador.

lock screen 2 - Petya RansomWare no codifica los archivos y codifica el disco duro.

Cómo cifra el Petia ransomware la unidad se ilustra en el siguiente video.

Como siempre hemos sugerido la mejor manera de no infectarse de este tipo de “virus” es JAMAS DESCARGAR NI EJECUTAR NINGÚN SOFTWARE DE CORREOS O WEBS SOSPECHOSAS. Y COMO PREMISA MÁXIMA SOSPECHAR DE TODO LO QUE NO ES HABITUAL.

Fuente