Kaspersky Lab Daily – 02/08/2016 – Alerta: Protéjase de Satana, el ransomware del infierno
Este año, las noticias sobre ataques de ransomware se han ido sucediendo sin cesar. A diario, los investigadores encuentras nuevas trazas de ransomware y descubren nuevas formas inusuales mediante las que los delincuentes lo usan para robar dinero a consumidores y a negocios. Y en cuanto los expertos en seguridad hacen algún avance, los estafadores se inventan nuevas estrategias y técnicas de ransomware.
Hace poco se descubrió otro tipo sofisticado de ransomware. Se llama Satana (de “Satán”), lo que nos hace suponer que quizá su origen sea ruso. El troyano hace dos cosas: cifra archivos y corrompe el registro de arranque principal (MBR por sus siglas en inglés), bloqueando así el proceso de inicio de Windows.
Hay troyanos que afectan el MBR, como el infame Petya. En ciertos aspectos, Satana se comporta de forma parecida, como por ejemplo al introducir su propio código en el MBR. Aun así, mientras Petya cifra la tabla maestra de archivos (MFT por sus siglas en inglés), Satana cifra el MBR. Para cifrar los archivos del PC, Petya necesita la ayuda de su compañero troyano Mischa. Satana realiza ambas tareas por sí mismo.
Para los que no estén familiarizados con el funcionamiento interno de los computadores, lo vamos a explicar. El MBR es una parte del disco duro que contiene la información sobre el sistema de archivos utilizado por las diferentes particiones del disco; de igual modo, contiene en qué partición se almacena el sistema operativo.
Si el MBR se corrompe, o se cifra, el ordenador pierde el acceso a una información crítica: en qué partición se almacena el sistema operativo. Si el ordenador no puede encontrar el sistema operativo, no puede iniciarse. Los desarrolladores de este ransomware aprovecharon para mejorar su cryptolocker con las capacidades de un bootlocker. Los hackers modifican el MBR para reemplazarlo con el código de la nota de rescate, cifran el original y lo mueven a otra parte.
El ransomware pide unos 0.5 bitcoins (aproximadamente 300 €) para descifrar el MBR y entregar la clave para descifrar los archivos afectados. Una vez se paga el rescate, los creadores de Satana dicen que restaurarán el acceso al sistema operativo y harán que todo sea como antes. Al menos eso dicen.
Una vez dentro del sistema, Satana analiza los discos y la red en busca de archivos con las extensiones .bak, .doc, .jpg, .jpe, .txt, .tex, .dbf, .db, .xls, .cry, .xml, .vsd, .pdf, .csv, .bmp, .tif, .1cd, .tax, .gif, .gbr, .png, .mdb, .mdf, .sdf, .dwg, .dxf, .dgn, .stl, .gho, .v2i, .3ds, .ma, .ppt, .acc, .vpd, .odt, .ods, .rar, .zip, .7z, .cpp, .pas, and .asm y empieza a cifrarlos. También añade una dirección de e-mail y tres guiones bajos al principio del nombre del archivo (por ejemplo, test.jpg pasa a ser Sarah_G@ausi.com___test.jpg).
Las direcciones de e-mail sirven de información de contacto para las víctimas y se supone que han de escribir a dicha dirección para recibir instrucciones de pago y obtener la clave de descifrado. Hasta ahora, los investigadores han visto que se han usado seis direcciones de e-mail en esta campaña.
La buena noticia es que es posible saltarse parcialmente el bloqueo. Con ciertas habilidades, se puede reparar el MBR. Los expertos del blog The Windows Club han publicados unas instrucciones para restablecer el MBR mediante la herramienta de restauración de Windows. Aun así, dicha característica está diseñada para usuarios expertos que están acostumbrados a trabajar con el símbolo del sistema y con la utilidad bootrec.exe. Por ello, es improbable que un usuario corriente utilice este método complicado y seguramente se sienta incómodo al intentarlo.
La mala noticia es que aunque consigamos desbloquear Windows, seguimos teniendo la otra mitad del problema: los archivos cifrados. Aún no se dispone de cura para esta parte.
En este momento, Satana parece haber empezado su carrera como ransomware. No se ha extendido y los investigadores han encontrado algunos errores en su código, pero hay posibilidades de que mejore y de que con el tiempo se convierta en una amenaza seria.
Nuestro mayor consejo para los usuarios es que por ahora tengan cuidado constantemente. Nuestras recomendaciones te ayudarán a minimizar el riesgo de infección y mantenerte alejado de posibles problemas.
1. Haz copias de seguridad a menudo. Esta es tu póliza de seguros. En caso de un ataque de ransomware tenga éxito, puedes reinstalar el sistema operativo y recuperar los archivos desde las copias de seguridad.
2. No visites páginas web sospechosas ni tampoco abras adjuntos misteriosos en e-mails, aunque provengan de una persona que conozcas. Ten mucho cuidado: se sabe poco de las técnicas de propagación de Satana.
3. Asegúrate de utilizar una solución de antivirus fiable.