Llega el MISCHA, el ransomware hybrido, parte como el PETYA, cifra MBR, y sino puede, cifra ficheros
Petya ha sido uno de los ransomware más curiosos vistos hasta ahora ya que, en vez de cifrar todos los datos del disco duro, este se basa en cifrar la tabla de particiones, dejando a los usuarios sin la posibilidad de acceder a su disco duro salvo que compren la clave correspondiente. Este ransomware se ha encontrado con algunas barreras a la hora de intentar instalarse en los sistemas de las víctimas, por ejemplo, con el hecho de necesitar permisos de Administrador para poder ejecutarse correctamente y modificar el MBR, lo que ha hecho que el número de víctimas, aunque relevante, no haya sido demasiado elevado.
Los piratas informáticos responsables de este ransomware han querido buscar una solución a esto para que todas las víctimas potenciales se infecten por él, y, tal como demuestra la empresa de seguridad Bleeping Computer, este ransomware ahora se distribuye con una nueva amenaza, conocida como Mischa que, en caso de no poder cifrar el MBR del sistema, se ejecutará esta otra para llevar a cabo una infección clásica.
Cuando el malware creado por estos piratas, el cual suele distribuirse como un falso documento PDF, se ejecuta en el sistema de la víctima, automáticamente va a intentar conseguir permisos de administrados en el sistema. Si los consigue, entonces ejecutará la parte de Petya para cifrar el MBR de los discos duros y pedir el correspondiente rescate. Si no consigue dichos permisos, entonces va a ejecutar este nuevo ransomware, Mischa, para cifrar uno a uno todos los datos del disco duro.
Cómo funciona Mischa, este nuevo ransomware alternativo
Igual que otras variantes similares, cuando se ejecuta Mischa empieza a cifrar todos los datos del ordenador para, finalmente, pedir el pago de un rescate de 1.93 Bitcoin, cerca de 900 dólares, a cambio de la clave de descifrado. Este malware utiliza un cifrado AES para los datos y añade al final de los mismos una extensión de 4 caracteres aleatorios, por ejemplo, fotografia1.jpg.7GP3.
Los únicos archivos generados por este ransomware son el propio malware, PDFBewerbungsmappe.exe, y las dos notas de rescate: YOUR_FILES_ARE_ENCRYPTED.HTML y YOUR_FILES_ARE_ENCRYPTED.TXT.
Como siempre, el pago se realiza a través de la red Tor para asegurar la privacidad y el anonimato tanto de la víctima como del pirata informático tras la amenaza.
Mischa ransomware
A día de hoy, no es posible recuperar los datos de Mischa de forma gratuita (y pagando tampoco hay garantías), aunque los expertos de seguridad ya trabajan en encontrar un fallo en el algoritmo que permite la recuperación de los mismos. Por el contrario, el MBR de Petya sí que puede ser descifrado fácilmente, siguiendo la guía que veremos al final de este artículo.
Ver mas información al respecto en Fuente:
http://www.redeszone.net/2016/05/13/vuelve-ransomware-petya-una-nueva-variante-mischa/#sthash.3MBa8iT8.dpuf
NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________
Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.
Los comentarios están cerrados.