Satana, un ransomware y bootkit que cifra los datos e impide el acceso a Windows

Conocimiento pertenece al mundo
Tweet about this on TwitterShare on FacebookShare on LinkedInShare on Google+Share on StumbleUponShare on TumblrShare on RedditPin on PinterestEmail this to someone

Por desgracia, es muy habitual ver cada pocos días nuevas variantes de ransomware, cada una de ellas con unas propiedades y características únicas, que buscan secuestrar los datos de los usuarios de la manera más eficaz posible y complicar al máximo la recuperación de los mismos. Una de las técnicas de moda en este tipo de malware es impedir el acceso a Windows, de manera que sea bastante más complicada la recuperación de los datos y obligando al usuario, como mínimo, a tener que extraer el disco duro y conectarlo a otro ordenador para intentar recuperar los datos sin tener que ceder al chantaje. Uno de los nuevos ransomware que se aprovecha de esto es Satana.

Satana es un nuevo ransomware descubierto por los expertos de seguridad de Malwarebytes que oculta dos amenazas en una. En primer lugar, como el resto de ransomware, este malware cifra todos los datos de sus víctimas utilizando un algoritmo estándar y, una vez finaliza este cifrado, en segundo lugar, instala un “bootlocker” en el disco duro de manera que, cuando el usuario intenta arrancar el ordenador para acceder a Windows, automáticamente se muestra la pantalla de secuestro y las instrucciones para la recuperación de los datos.

Satana ransomware y bootlocker

Cuando este ransomware infecta el ordenador por primera vez, lo primero que hace es escanear todas las unidades conectadas (incluso las unidades de red) al ordenador para, automáticamente, comenzar el cifrado de los archivos atendiendo a una lista de extensiones (imágenes, documentos, proyectos de programación, etc).

Una vez finaliza, instala, como hemos dicho, el bootlocker y genera 3 ficheros diferentes de recate, los cuales se pueden consultar desde el sistema operativo. En estos ficheros de rescate, el pirata informático nos informa de que los datos han sido cifrados y que tenemos que pagar 0.5 Bitcoin en menos de 7 días para poder recibir el software para descifrar y recuperar los datos. También nos facilita un correo electrónico a través del cual podemos contactar con el pirata para recibir ayuda.

Además, el atacante informa que, hasta que no paguemos, no podremos volver a acceder a nuestro ordenador y que, si queremos poder recuperar los datos, no debemos realizar modificaciones en el sistema.

Es posible deshabilitar el bootlocker de Satana de forma gratuita, pero no recuperar los datos cifrados

Los expertos de seguridad que han estudiado este ransomware y el software de bloqueo del sistema aseguran que realizando una simple reparación del MBR es posible desactivar el bootlocker y poder volver a acceder a Windows, sin embargo, los datos seguirán cifrados.

Además, por el momento, no existe ninguna manera de recuperar estos datos de forma gratuita como ocurre con otros ransomware, sin embargo, los expertos de seguridad están estudiando los algoritmos utilizados por estos piratas, por lo que es posible que, de encontrarse una debilidad en el código, se libere una herramienta gratuita que, efectivamente, permita descifrar todos los datos sin coste alguno.

Por el momento, si caemos víctimas de este ransomware, lo mejor es reparar el MBR y esperar a la liberación de la herramienta ya que, como siempre advertimos, es muy probable que, incluso aunque paguemos el rescate a los piratas informáticos, no lleguemos a poder recuperar nuestros datos.

Fuente:http://www.redeszone.net/

Conocimiento pertenece al mundo
Tweet about this on TwitterShare on FacebookShare on LinkedInShare on Google+Share on StumbleUponShare on TumblrShare on RedditPin on PinterestEmail this to someone