El ransomware HDDCryptor es una amenaza descubierta hace pocos días, que ralacionan con Petya y Satana, especializada en cifrar los archivos pertenecientes a la zona de arranque del disco.
En esta ocasión los ciberdelincuentes muestran mucho interés por los
archivos que se encuentran en el MBR de los discos duros. O lo que es lo mismo,
la primera partición que contiene información sobre el particionado y el
arranque del sistema. Modificando esta información el equipo no podrá arrancar,
algo que no impedirá bajo ningún concepto informar al usuario sobre lo que ha
sucedido con la información de su equipo y otras carpetas de red.
Se ha detectado hasta el momento una gran infección que ha afectado a casi la totalidad de los ordenadores pertenecientes a una multinacional aunque se espera que el pico de infecciones de alcance a finales de esta semana o principios de la siguiente.
¿Cuál es la vía de distribución del ransomware
HDDCryptor?
- Los expertos en seguridad han detallado que esta operación se realiza sobre todo a través de páginas web infectadas, produciéndose la descarga de un ejecutable que será el encargado de descargar a su vez el instalador de la amenaza. Se trata de una amenaza muy sofisticada ya que se vale de otras dos herramientas open source, una de las cuales sirve para recuperar contraseñas d ecarpetas de red y la otra para proceder porpiamente al cifrado de la información, incluyendo el de los archivos del sistema y aquellos que se encuentran en la primera partición del disco.
¿El equipo queda inservible?
- Obviamente que los archivos de esta sean inaccesibles provocan que el sistema no sea capaz de iniciar el arranque, pero sí que es verdad que a cambio los ciberdelincuentes muestran una imagen en la que se explica lo que ha sucedido con la información. Se solicita al usuario el pago de 1 Bitcoin, lo que es aproximadamente 610 dólares.
- En el caso de no aceptar el pago, los expertos en seguridad recomiendan proceder al formateo del equipo con la consiguiente perdida de todos los datos si no se tiene una copia de seguridad o bien reparar el arranque con un disco de instalación e iniciar el equipo en modo a prueba de fallos para eliminar la amenaza en primer lugar.
Fuente: Softpedia
