PETYA Crypto-ransomware sobreescribe el MBR para bloquear a los usuarios de sus propios equipos

Como si encriptar archivos y mantenerlos secuestrados no fuera suficiente, los cibercriminales que crearon y difundieron el cripto-ransomware ahora están sumando un BSoD (Blue Screen of Death por sus siglas en inglés o pantalla azul) y mostrar sus notas de rescate al arranque del sistema, aún antes de que se cargue el sistema operativo. Imagine que prende su computadora y en lugar del típico icono de Windows en proceso de arranque, comienza a percibir una pantalla parpadeando en rojo y blanco con una calavera en su lugar.

[image url=”http://blog.trendmicro.com/trendlabs-security-intelligence/files/2016/03/petya_figure1.jpg” raw=”true” alignment=”center” margin_left=”0″ margin_right=”0″ margin_top=”15″ margin_bottom=”15″ width=”600″ height=”333″]

Ilustración 1.  La advertencia de Petya: la calavera roja

Esta es la rutina de una nueva variante del cripto-ransomware denominado “Petya” (detectado por Trend Micro como RANSOM_PETYA.A). Este malware no solamente tiene la habilidad de sobreescribir el MBR (Master Boot Record) del sistema afectado para dejar fuera a sus usuarios, es interesante destacar que se envía por medio de un servicio de almacenamiento vía nube legítimo (en este caso, Dropbox).

Podemos señalar que esta no es la primera vez que el malware abusa de un sistema legítimo para su propio beneficio; sin embargo, esta es la primera vez (desde hace mucho tiempo) que conduce a una infección del tipo cripto-ransomware.  Es el punto de partida de la típica cadena de infección, en donde los archivos maliciosos se adjuntan a correos electrónicos o se hostean en sitios no confiables y se envían mediante exploit kits.

Rutina de infección

Según se informa, Petya todavía se distribuye vía correo electrónico. Las víctimas podrían recibir un correo electrónico adaptado para que se vea y se lea como de parte de un “candidato” buscando empleo en la compañía. Y adjuntaría un hipervínculo dirigido a una ubicación de almacenamiento en Dropbox, lo cual le permitiría al usuario supuestamente descargar el curriculum vitae (CV) del candidato.

En uno de los ejemplos que analizamos, la carpeta de Dropbox contiene dos archivos: uno ejecutable autoextraíble, que pretende ser el CV, y la foto del candidato. Después de investigar más a fondo se reveló que la foto es de un banco de imágenes y lo más seguro es que se usa sin el permiso del fotógrafo.

[image url=”http://blog.trendmicro.com/trendlabs-security-intelligence/files/2016/03/petya_archive.jpg” raw=”true” alignment=”center” margin_left=”0″ margin_right=”0″ margin_top=”15″ margin_bottom=”15″ width=”245″ height=”116″]

Ilustración 2.  Contenido de la carpeta de Dropbox

Por supuesto, el archivo descargado no es un currículm, sino un archivo ejecutable autoextraíble que liberaría un Troyano en el sistema.

Síntomas de la infección

Una vez ejecutado, Petya sobreescribe el MBR del disco duro entero, lo que causa que Windows tenga una falla abrupta y se despliegue la BsoD (pantalla azul). Esta es también la forma en la que Petya elude a los productos de seguridad. Si el usuario trata de reiniciar su PC, el MBR modificado evitará que inicie Windows de forma normal y en su lugar lo saludará con un cráneo en código ASCII y un ultimátum: pagar una cierta cantidad de bitcoins o perder acceso a sus archivos y computadora.

Cabe señalar que el MBR editado también prohíbe iniciar la máquina en Modo a Prueba de Fallos.

Se le da al usuario instrucciones explícitas de cómo hacer esto, como lo hace cualquier otro cripto-ransomware: una lista de demandas, una liga al Proyecto Tor (The Onion Router de sus siglas ingles ó red de anonimato) y cómo llegar hasta la página para realizar el pago y un código personal para poder descifrar la computadora.

[image url=”http://blog.trendmicro.com/trendlabs-security-intelligence/files/2016/03/petya_figure2.jpg” raw=”true” alignment=”center” margin_left=”0″ margin_right=”0″ margin_top=”15″ margin_bottom=”15″ width=”600″ height=”332″]

Ilustración 3.  Instrucciones de PETYA para descifrar archivos y el pago del rescate

Mirando su sitio web el cual está diseñado de forma muy profesional, descubrimos que el precio del rescate es actualmente de 0.99 Bitcoins (BTC), lo que equivale a US$431, y sube al doble si no se cumple con la fecha límite de pago.

[image url=”http://blog.trendmicro.com/trendlabs-security-intelligence/files/2016/03/petya_figure3.jpg” raw=”true” alignment=”center” margin_left=”0″ margin_right=”0″ margin_top=”15″ margin_bottom=”15″ width=”600″ height=”419″]

Ilustración 4.  PETYA en el Deep Website

Las soluciones para Endpoint de Trend Micro como  Trend Micro™ Security,  Smart Protection Suites, y Worry-Free Business Security pueden proteger a los usuarios y sus empresas de esta amenaza al detectar archivos y mensajes de correo electrónico maliciosos, así como bloquear todo lo relacionado con los URL mal intencionados.

SHA1s para archivos relacionados:

  •    39B6D40906C7F7F080E6BEFA93324DDDADCBD9FA
  •    B0C5FAB5D69AFCC7FD013FD7AEF20660BF0077C2
  •    755f2652638f87ab517c608a363c4aefb9dd6a5a

Ya fue informado Dropbox acerca de los archivos maliciosos hosteados en su servicio, en el momento de la publicación de este blog. Ya han quitado el archivo malicioso así como los links. Dropbox liberó el siguiente comunicado:

[image url=”/wp-content/uploads/2017/06/Captura-de-pantalla-2017-06-28-a-las-4.41.33-p.m..png” raw=”true” alignment=”center” margin_left=”0″ margin_right=”0″ margin_top=”0″ margin_bottom=”0″ width=”597″ height=”137″]

Damos las gracias a Dropbox por su rápida respuesta ante este incidente.


Posted

in

,

by

Tags:

Comments

Leave a Reply

Your email address will not be published. Required fields are marked *

This site uses Akismet to reduce spam. Learn how your comment data is processed.