Y parece que ya se sabe como llega el ransomware del momento !

Petya: un virus en un currículum alojado en Dropbox

Petya, un virus en un currículum y alojado en DropBox es el causante de la nueva oleada de ataques que está afectando a empresas de medio mundo. Tal y como ha confirmado la empresa de seguridad Trend Micro, Petya recurre a provocar la pantalla azul de la muerte (BSoD) y a incluir sus notas de petición de rescate al iniciarse el sistema, incluso antes de que se cargue el sistema operativo.

Petya se distribuye por correo electrónico y aparenta ser un curriculum alojado en DropBox

Según esta multinacional de la ciberseguridad, este malware no sólo tiene la posibilidad de sobrescribir el registro de arranque principal, también conocido como registro de arranque maestro (MBR) del sistema afectado con el fin de bloquear el acceso a los usuarios, sino que para llegar a las víctimas utiliza un servicio de almacenamiento cloud legítimo (en este caso lo hace a través de Dropbox). El equipo de investigación de Trend Micro ha observado que no se trata de la primera vez que el malware abusa de un servicio legítimo para su propio beneficio; sin embargo, ésta es la primera vez (desde hace un largo período de tiempo) que provoca la infección por crypto-ransomware. También es una desviación de la cadena de infección típica, en la que los archivos maliciosos están asociados a mensajes de correo electrónico o alojados en sitios maliciosos y son entregados por kits de exploits.

Rutina de infección de Petya
Según se informa, Petya todavía se distribuye por correo electrónico. Las víctimas recibirán un email personalizado que invita a leer una aparente carta o mensaje de negocios en el que un “aspirante” busca un puesto de trabajo en una empresa. Se presentaría a los usuarios con un hipervínculo a un lugar de almacenamiento de Dropbox, que supuestamente permitiría la descarga del currículum vitae (CV) del candidato.

En una de las muestras analizadas, en la carpeta de Dropbox los puntos de enlace contienen dos archivos: un archivo ejecutable autoextraíble, que pretende ser el CV, y las fotos del solicitante. Profundizando más, se ha encontrado que la foto es una imagen de stock que es muy probable que se utilice sin el permiso del fotógrafo. Por supuesto, detrás del Currículum se encuentra un troyano que ciega a los programas antivirus instalados antes de descargar (y ejecutar) el ransomware Petya.

Una vez ejecutado, PETYA sobrescribe el MBR de todo el disco duro, haciendo que Windows se cuelgue y muestre una pantalla azul. En caso de que el usuario trate de reiniciar su PC, el MBR modificado le impedirá la carga de Windows con normalidad y, en cambio, le dará la bienvenida con una calavera ASCII y un ultimátum: pague una cierta cantidad de bitcoins o perderá el acceso a sus archivos y al equipo.

Otra cosa a destacar es que el MBR editado tampoco permite reiniciar en Modo Seguro. Acto seguido, el usuario recibe instrucciones explícitas sobre cómo hacer el pago, al igual que cualquier crypto-ransomware que esté circulando en la actualidad: una lista de demandas, un enlace a Tor Project y cómo llegar a la página de pago a través de él, y un código de descifrado personal.

Ver mas información sobre este ransomware en: http://www.revistabyte.es/actualidad-byte/petya-ciberataque-mundial-wannacry/

 

ver información original al respecto en Fuente:

http://www.revistabyte.es/actualidad-byte/petya-virus-curriculum-dropbox/

__________

NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________

Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.

Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.

Los comentarios están cerrados.

 

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies