Rombertik, un malware que afecta el MBR del equipo
Las amenazas a las que deben hacer frente los usuarios son cada vez más complejas y dañinas. Hasta el momento la inmensa mayoría son troyanos que se encargan de cifrar la totalidad o parte del contenido del disco duro del equipo. Sin embargo, expertos en seguridad han detectado una amenaza que se identifica como Rombertik que tras conseguir el botín deja inutilizado el equipo.
Todo comienza con la llegada del ejecutable al equipo. Al realizar su ejecución este es capaz de detectar la presencia de herramientas de seguridad en el sistema, disponiendo de dos tipos de instalación: una que crea un proceso independiente y que se ejecuta de forma autónoma y cada que se arranque el equipo o bien recurriendo a un proceso que ya se está ejecutando e inyectando su código en él para evitar que las herramientas de seguridad detectan su actividad. Tanto Google Chrome como Internet Explorer, Opera o Firefox se ven afectados por igual
Una vez que está instalado haciendo uso de alguna de las dos alternativas citadas con anterioridad el troyano comienza la recopilación de datos introducidos en los navegadores, tanto credenciales de acceso a los servicios como números de cuenta o de tarjeta de crédito.
Tras recopilar la información necesaria y enviarla a un servidor propiedad de los ciberdelincuentes modifica la configuración del MBR para dejar inservible el equipo, provocando que este se reinicie en un bucle infinito. El MBR es necesario para arrancar el equipo y seleccionar el sistema operativo de forma correcta gracias a la información contenida en este sector, por lo tanto el inicio es imposible.
Teniendo en cuenta que afecta a equipos Windows es posible recuperar la instalación gracias al disco de instalación y seleccionando “Reparación del equipo”, seleccionar símbolo del sistema y teclear:
bootrec /fixboot
Y posteriormente:
bootrec /rebuildbcd
Con esto podremos recuperar el MBR y el funcionamiento normal del equipo. Posteriormente sería necesario iniciar el equipo en “Modo prueba de fallos” y gracias a una herramienta de seguridad eliminar la amenaza.
Ver informacion al respecto en Fuente:
http://www.redeszone.net/2015/05/05/rombertik-malware-ordenador-inservible/
NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________
Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.
Los comentarios están cerrados.