NUEVA UTILIDAD PETYAMBR.EXE

PETYAMBR.EXE

Nueva utilidad para prevención/restauración de los efectos del ransomware PETYA, que según indican, codifica el MBR del disco duro, impidiendo su posterior arranque normal.

Pendientes de recibir muestra de dicho ransomware, por la información
recibida vemos que es por la ejecución del EXE recibido en un e-mail que pretende
contener el CURRICULUM VITAE que envía un candidato, posiblemente dirigido
al departamento de RECURSOS HUMANOS:

http://www.bbc.com/news/technology-35916425

Dado que si el MBR es codificado, no se tiene posterior acceso al arranque
del ordenador, y consecuentemente tampoco a los datos del mismo, lo que
pretendemos hacer con dicha utilidad es guardar una copia de dicho MBR en
un sector reservado del disco duro, que no se utilice y este vacío, de
forma que, en caso de que ocurra el cifrado en cuestión, podamos restaurar
la información salvada, implementándola de nuevo en el MBR

Si bien la primera parte (Salvar la información), debe hacerse
preventivamente, en todos los ordenadores que se quieran proteger, cuando
el ordenador trabaje normalmente, en cambio la restauración procederá
hacerla cuando ya haya sido afectado por el ransomware y ya no arranque,
por lo que se deberá utilizar un sistema de arranque alternativo tipo
Pilitos:

La primera parte se consigue lanzando desde Opciones de comando, la
secuencia:

PETYAMBR.EXE /SAVE HD0

(suponiendo que se quiera salvar el del primer disco duro, sino, en lugar
de HD0 procederá indicar HD1, HD2 , o HD3  … (HD0 -cero- es la primera unidad de disco duro, debe indicarse esta o la unidad que se desee procesar)

Lo normal es que tras ello indique COPIA REALIZADA, pero si no fuera así
por encontrar datos en el sector escogido para ello, que pudiera ser de
una copia anterior, deberá contactarse con SATINFO para optar por cambiar
dicha opción.

Y si llega el caso de necesitar restaurar dicha copia de seguridad, tras
arrancar con CD con sistema tipo PILITOS, en el que se haya copiado dicha
utilidad PETYAMBR.EXE,

http://reparaciondepc.cl/blog/descargar-windows-pilitos-cd-live-de-windows/

También es posible tener la utilidad PETYAMBR.EXE en un pendrive, al cual acceder una vez arrancado con el LIVECD PILITOS

Tras ello, simplemente se deberá proceder a ejecutar, igualmente desde Opciones de comando, la secuencia

PETYAMBR.EXE  /UNDO HD0. (HD0 -cero- es la primera unidad de disco duro, debe indicarse esta o la unidad que se desee restaurar, que previamente se haya salvado)

Tras ello se deberá arrancar normalmente en MODO SEGURO y lanzar el
antivirus para eliminar el ransomware en cuestión, o aun mejor, arrancando
con el LIVECD que contiene el antivirus (que disponemos tanto para el de
McAfee como para el de Kaspersky) y limpiar el ordenador para evitar que
en un posterior arranque vuelva a ejecutarse el maldito virus.

Todo lo indicado esta basado en la información recibida del malware, pues
aun no hemos recibido ninguna muestra para la monitorizacion
correspondiente, pero es que no podemos esperar a ser infectados, sino que
se han de tomar medidas antes de que sea tarde.

Si tienen alguna duda o desean alguna aclaración, rogamos nos consulten

saludos

ms, 4- Abril -2016

__________

NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________

Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.

Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.

Los comentarios están cerrados.

 

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies