• Registrarse
  • Iniciar sesión


  • Resultados 1 al 9 de 9

    El Ransomware Petya usa bloqueo de pantalla de tipo DOS y evita el arranque...

    El Ransomware Petya usa bloqueo de pantalla de tipo DOS y evita el arranque del sistema operativo. Petya utiliza tácticas de la vieja escuela, que parece estar haciendo bien las cosas sin emplear un cifrado ...

          
    1. #1
      Warrior Avatar de @JoseAsuncion
      Registrado
      sep 2012
      Ubicación
      Lima
      Mensajes
      11.598

      El Ransomware Petya usa bloqueo de pantalla de tipo DOS y evita el arranque...

      El Ransomware Petya usa bloqueo de pantalla de tipo DOS y evita el arranque del sistema operativo.


      Petya utiliza tácticas de la vieja escuela, que parece estar haciendo bien las cosas sin emplear un cifrado muy potente.




      Expertos en malware de la empresa de seguridad alemana G DATA han encontrado un nuevo tipo de ransomware encriptador que utiliza una pantalla de bloqueo de tipo DOS para evitar que los usuarios tengan acceso a sus archivos.

      Los Lock-ransomware, también conocidos como locker, es el primer tipo de ransomware que existían antes del surgimiento del crypto-ransomware. Este tipo de ransomware no cifra los archivos, simplemente bloquea el acceso del usuario a sus datos.

      En la mayoría de los casos, se trataba de una pantalla de bloqueo a nivel de escritorio, pero ha habido familias de ransomware que sólo muestran una ventana del navegador (llamado browser lockers o browser ransomware).

      Con el paso del tiempo, los lock-ransomware resultaban fácil de quitar pero ahora las cyber-bandas por estos días están usando una variante del crypto-ransomware, debido a su eficiencia para "convencer" a las víctimas infectadas a pagar.

      Con todo esto dicho, es extraño ver un lock-ransomware fuera de los dispositivos móviles donde están siendo más eficientes.

      El ransomware Petya se distribuye a los departamentos de recursos humanos

      El último lock-ransomware descubierto por los investigadores de seguridad es el ransomware Petya , que fue visto propagandose vía spear-phishing campañas dirigidas a departamentos de recursos humanos.

      Los empleados de recursos humanos envían un correo electrónico con un enlace a un archivo almacenado en Dropbox, donde puede descargarse el CV del solicitante. Este archivo es un archivo EXE llamado portfolio-packed.exe, que si se ejecuta, inmediatamente bloqueará el sistema con una pantalla estándar azul de la muerte de Windows.

      Antes de que esto suceda, G DATA señala que el ransomware altera el MBR del disco duro, previniendo que el SO arranque y secuestrando el proceso de inicio con una rutina maliciosa.


      Petya mantiene los equipos bajo nivel de DOS hasta que las víctimas pagen el rescate



      Tan pronto como el usuario reinicia el PC después de la pantalla azul, el equipo entrará en un proceso de comprobación de disco (CHKDSK) falso que, después de que termine, cargará la pantalla de bloqueo de Petya, dejandoló como si fuera un sistema bajo DOS.

      Si reinicias el equipo una y otra vez siempre entrará en esta pantalla, que es (debemos admitir) un método bastante inteligente e innovadora de mostrar una pantalla de bloqueo.

      Esta pantalla proporciona un vínculo al sitio de pago del ransomware, alojado en Tor. Después de que el usuario compra una clave de descifrado, podra entrar en la parte inferior de la pantalla de bloqueo DOS. Petya pretende haber cifrado los archivos del usuario, pero según G DATA no se puede verificar sus afirmaciones y que esto es probablemente una mentira.

      G DATA está todavía analizando este nuevo tipo de ransomware y todavía no ha identificado un método de saltar el bloque de pantalla y arrancar el sistema operativo.

      Además de Petya, los investigadores de seguridad de Cyphort también descubrieron una nueva versión de la familia Locker, otra variante del cripto-ransomware que utiliza pantallas de bloqueo de la vieja escuela en lugar del cifrado. A continuación hay un video del ransomware Petya en acción.



      Fuente: Softpedia.
      Woaxxx
      * Síguenos en nuestro Twitter y hazte nuestro amigo en Facebook.
      * Infórmate de las ultimas amenazas de la red desde: InfoSpyware Blog
      * No se resuelven dudas por Privados ni por E-mail, ya que para eso esta el foro.

    2. #2
      FS-Admin
      Avatar de @MarceloRivero
      Registrado
      ene 2005
      Ubicación
      Miami
      Mensajes
      40.914

      Re: El Ransomware Petya usa bloqueo de pantalla de tipo DOS y evita el arranque...

      Me toco analizar unas muestras de este ransomware Petya y al igual que lo confirmaron ya públicamente desde Trend Micro, este también se encarga de cifrar los archivos de las víctimas, aparte de sobrescribir el MBR de Windows para que al reiniciar se vea la calavera con la pantalla bloqueada.

      Actualización: Investigadores de Trend Micro también analizaron a Petya y confirmaron que el ransomware si cifra los archivos, al mismo tiempo revelaron que también altera el MBR, impidiendo que los usuarios puedan entrar en modo seguro: La suma pedida por el rescate es de un Bitcoin 0,99 (~ $400).


      Si bien la primera variante de Petya ya se conocía desde algún tiempo... hasta el momento no se habían detectado casos de usuarios infectados como ahora. De todos modos, a diferencia de otros ransomware, este está siendo utilizando en ataques del tipo APT, ósea, muy específicos a ciertos niveles de usuarios de empresas y no de forma masiva como otros.



      Salu2
      Marcelo Rivero
      Microsoft MVP Enterprise Security.



      * Síguenos en nuestro Twitter y hazte nuestro amigo en Facebook.
      * Infórmate de las ultimas amenazas de la red desde: InfoSpyware Blog
      * No se resuelven dudas por Privados ni por E-mail, ya que para eso esta el foro.

    3. #3
      Warrior Avatar de @JoseAsuncion
      Registrado
      sep 2012
      Ubicación
      Lima
      Mensajes
      11.598

      Re: El Ransomware Petya usa bloqueo de pantalla de tipo DOS y evita el arranque...

      Actualización [14:52]: Fabian Scherschel de Heise Security ha realizado un análisis (en alemán) de Petya, y ha encontrado que el "cifrado" utilizado por Petya en su primera fase que modifica el Master Boot record está escrito en XOR. Si se encuentra usted en este paso, los datos pueden ser fácilmente recuperados arrancando el disco desde otra unidad para realizar copias de seguridad del contenido. En los sistemas UEFI infectados por Petya, el malware sólo puede dañar la información de arranque, por lo tanto la unidad no arrancará - pero no cifrará su contenido.

      Fuente: Arstechnica
      saludos cordiales.
      Woaxxx
      * Síguenos en nuestro Twitter y hazte nuestro amigo en Facebook.
      * Infórmate de las ultimas amenazas de la red desde: InfoSpyware Blog
      * No se resuelven dudas por Privados ni por E-mail, ya que para eso esta el foro.

    4. #4
      Baneado Avatar de ArgentinaIRC
      Registrado
      oct 2015
      Ubicación
      Argentina
      Mensajes
      227

      Re: El Ransomware Petya usa bloqueo de pantalla de tipo DOS y evita el arranque...

      Hola amigos!!

      Muchas gracias por la información, cada día mirando este foro podemos ir aprendiendo y conociendo los distintos tipos de malwares que van saliendo día a día y también la forma en la que actúan estos tipos de malwares.
      Además de que nos previenen a que ejecutemos algún archivo ejecutable, porque con este tipo de información que nos brindan es más difícil que uno pueda caer en la trampa.

      Gracias por la info

    5. #5
      Usuario Avatar de StarWars9600
      Registrado
      oct 2015
      Ubicación
      asdfa
      Mensajes
      370

      Re: El Ransomware Petya usa bloqueo de pantalla de tipo DOS y evita el arranque...

      El sistema DOS del ransonware en los nuevos ordenadores no funciona, ya que tienen UEFI y no pueden modificar el arranque, y si pudieran, no hay un sistema DOS compatible con UEFI .

    6. #6
      FS-Admin
      Avatar de @MarceloRivero
      Registrado
      ene 2005
      Ubicación
      Miami
      Mensajes
      40.914

      Re: El Ransomware Petya usa bloqueo de pantalla de tipo DOS y evita el arranque...

      Cita Originalmente publicado por StarWars9600 Ver Mensaje
      El sistema DOS del ransonware en los nuevos ordenadores no funciona, ya que tienen UEFI y no pueden modificar el arranque, y si pudieran, no hay un sistema DOS compatible con UEFI .
      Sorry amigo, pero no, son cosas totalmente diferentes.

      UEFI es un nuevo sistema creado para reemplazar la interfaz de firmware Input/Output System, osea la BIOS.

      Y al ransom Petya realiza una sobrescritura a la estructura de bajo nivel del MBR (Master Boot record) en el disco duro.

      En todo caso se espera a futuro se estandaricen otros sistemas de inicio de disco como el GPT como remplazo del MBR, pero eso ya es otra historia que no tiene que ver con el tema del ransomware.


      Salu2
      Marcelo Rivero
      Microsoft MVP Enterprise Security.



      * Síguenos en nuestro Twitter y hazte nuestro amigo en Facebook.
      * Infórmate de las ultimas amenazas de la red desde: InfoSpyware Blog
      * No se resuelven dudas por Privados ni por E-mail, ya que para eso esta el foro.

    7. #7
      Usuario Avatar de moralesdaglo
      Registrado
      ene 2006
      Ubicación
      USA
      Mensajes
      305

      Re: El Ransomware Petya usa bloqueo de pantalla de tipo DOS y evita el arranque...

      Cita Originalmente publicado por @MarceloRivero Ver Mensaje
      Sorry amigo, pero no, son cosas totalmente diferentes.

      UEFI es un nuevo sistema creado para reemplazar la interfaz de firmware Input/Output System, osea la BIOS.

      Y al ransom Petya realiza una sobrescritura a la estructura de bajo nivel del MBR (Master Boot record) en el disco duro.

      En todo caso se espera a futuro se estandaricen otros sistemas de inicio de disco como el GPT como remplazo del MBR, pero eso ya es otra historia que no tiene que ver con el tema del ransomware.


      Salu2
      Petya es inefectivo enlas particiones GPT?

    8. #8
      Usuario Avatar de StarWars9600
      Registrado
      oct 2015
      Ubicación
      asdfa
      Mensajes
      370

      Re: El Ransomware Petya usa bloqueo de pantalla de tipo DOS y evita el arranque...

      Cita Originalmente publicado por moralesdaglo Ver Mensaje
      Petya es inefectivo enlas particiones GPT?
      Parece que si

    9. #9
      Warrior Avatar de @JoseAsuncion
      Registrado
      sep 2012
      Ubicación
      Lima
      Mensajes
      11.598

      Re: El Ransomware Petya usa bloqueo de pantalla de tipo DOS y evita el arranque...

      Buenas noticias.

      El cifrado del ransomware petya puede romperse.



      El ransomware petya ha golpeado duramente a empresas, pero la buena noticia es que ahora hay herramientas disponibles para obtener los archivos cifrados y desbloquear los equipos.

      El ransomware no sólo encripta los archivos de las víctimas, también corrompe la Tabla maestra de archivos del disco (MFT), y sustituye el registro maestro de arranque de la unidad de arranque (MBR) con un cargador malicioso.

      Hace casi dos semanas un analista de malware que se hace conocer con el sobrenombre de Hasherezade creó un decodificador que extrae los archivos encriptados de las víctimas con el fin de revertir el daño, pero sólo funcionaba si el sistema no se reinicia después de la infección (Etapa 1).

      Pero el viernes un programador no identificado que se hace llamar como "Leo Stone" publicó otra herramienta que se las arregla para extraer la clave, incluso si el ordenador se reinicia (Etapa 2).


      Al parecer, el suegro del programador fue víctima del ransomware Petia, y no quería pagar el rescate, por lo que Leo Stone realizó un análisis para encontrar una posible solución. El código de la herramienta (y los detalles técnicos de su búsqueda) se puede encontrar en GitHub.

      La herramienta también se puede acceder desde aquí, y ya está listo para su uso. El único problema es que con el fin de utilizarlo, hay que extraer dos piezas de información desde el disco infectado, y eso no es tan fácil para los usuarios que no estén familiarizados con la tecnología.

      Por suerte, el investigador de Emsisoft Fabian Wosar ha creado otra herramienta que permitiría a las víctimas extraer esta información, pero tiene que tener otro equipo que no este infectado disponible y saber cómo quitar un disco duro del ordenador y adjuntarlo a otro.

      Para obtener más información acerca de todo el proceso, echa un vistazo a estas instrucciones de Lawrence Abrams de Bleeping Computer..

      Cuando finalmente introduzca la información en la herramienta de Leo Stone y pueda obtener la clave, sólo tiene que introducirlo en la pantalla de bloqueo del ransomware, y esperar a que el daño se revierta.



      saludos.
      Woaxxx
      * Síguenos en nuestro Twitter y hazte nuestro amigo en Facebook.
      * Infórmate de las ultimas amenazas de la red desde: InfoSpyware Blog
      * No se resuelven dudas por Privados ni por E-mail, ya que para eso esta el foro.