Se ha comenzado a propagar Petya, un nuevo ransomware que muestra una "pantalla azul" (BSoD - Blue Screen of Death) que informa al usuario de su presencia, al arrancar el sistema, a través de una nota de rescate antes de la carga del sistema operativo.
Petya tiene la capacidad de sobrescribir el registro de arranque del sistema afectado (MBR) y bloquear el ingreso del usuario. Es interesante destacar que el malware se estaba propagando a través de un servicio de almacenamiento de Dropbox.
Petya se distribuye por correo electrónico con la excusa de enviar el CV de un candidato para un puesto de trabajo. En el correo se presenta un enlace a Dropbox, que supuestamente le permite al usuario descargar el CV del solicitante. La carpeta de Dropbox contiene dos archivos: un archivo ejecutable autoextraíble, que pretende ser el CV, y una foto del mismo.
El archivo descargado es un archivo ejecutable autoextraíble que instala el ransomware en el sistema y, una vez ejecutado, sobrescribe el MBR del disco duro, causando un Windows crash y una pantalla azul. El MBR editado también deshabilita el reinicio en modo seguro.
Al reiniciar el ordenador, el MBR modificado impide la carga del sistema operativo y muestra la pantalla de información que solicita el pago de una cierta cantidad de bitcoins si no se quiere perder el acceso a los archivos y al propio ordenador. También ofrece un enlace a un sitio TOR que contiene la página de pago y un código de descifrado personal.
TrendMicro (25-03-2016)
