NUEVA UTILIDAD PETYAMBR.EXE
PETYAMBR.EXE
Nueva utilidad para prevención/restauración de los efectos del ransomware PETYA, que según indican, codifica el MBR del disco duro, impidiendo su posterior arranque normal.
Pendientes de recibir muestra de dicho ransomware, por la información
recibida vemos que es por la ejecución del EXE recibido en un e-mail que pretende
contener el CURRICULUM VITAE que envía un candidato, posiblemente dirigido
al departamento de RECURSOS HUMANOS:
http://www.bbc.com/news/technology-35916425
Dado que si el MBR es codificado, no se tiene posterior acceso al arranque
del ordenador, y consecuentemente tampoco a los datos del mismo, lo que
pretendemos hacer con dicha utilidad es guardar una copia de dicho MBR en
un sector reservado del disco duro, que no se utilice y este vacío, de
forma que, en caso de que ocurra el cifrado en cuestión, podamos restaurar
la información salvada, implementándola de nuevo en el MBR
Si bien la primera parte (Salvar la información), debe hacerse
preventivamente, en todos los ordenadores que se quieran proteger, cuando
el ordenador trabaje normalmente, en cambio la restauración procederá
hacerla cuando ya haya sido afectado por el ransomware y ya no arranque,
por lo que se deberá utilizar un sistema de arranque alternativo tipo
Pilitos:
La primera parte se consigue lanzando desde Opciones de comando, la
secuencia:
PETYAMBR.EXE /SAVE HD0
(suponiendo que se quiera salvar el del primer disco duro, sino, en lugar
de HD0 procederá indicar HD1, HD2 , o HD3 … (HD0 -cero- es la primera unidad de disco duro, debe indicarse esta o la unidad que se desee procesar)
Lo normal es que tras ello indique COPIA REALIZADA, pero si no fuera así
por encontrar datos en el sector escogido para ello, que pudiera ser de
una copia anterior, deberá contactarse con SATINFO para optar por cambiar
dicha opción.
Y si llega el caso de necesitar restaurar dicha copia de seguridad, tras
arrancar con CD con sistema tipo PILITOS, en el que se haya copiado dicha
utilidad PETYAMBR.EXE,
También es posible tener la utilidad PETYAMBR.EXE en un pendrive, al cual acceder una vez arrancado con el LIVECD PILITOS
Tras ello, simplemente se deberá proceder a ejecutar, igualmente desde Opciones de comando, la secuencia
PETYAMBR.EXE /UNDO HD0. (HD0 -cero- es la primera unidad de disco duro, debe indicarse esta o la unidad que se desee restaurar, que previamente se haya salvado)
Tras ello se deberá arrancar normalmente en MODO SEGURO y lanzar el
antivirus para eliminar el ransomware en cuestión, o aun mejor, arrancando
con el LIVECD que contiene el antivirus (que disponemos tanto para el de
McAfee como para el de Kaspersky) y limpiar el ordenador para evitar que
en un posterior arranque vuelva a ejecutarse el maldito virus.
Todo lo indicado esta basado en la información recibida del malware, pues
aun no hemos recibido ninguna muestra para la monitorizacion
correspondiente, pero es que no podemos esperar a ser infectados, sino que
se han de tomar medidas antes de que sea tarde.
Si tienen alguna duda o desean alguna aclaración, rogamos nos consulten
saludos
ms, 4- Abril -2016
NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________
Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.
Siguenos
en facebook
Los comentarios están cerrados.