Skip to main content
  • Home
  • Malware
  • Nuevos Ransomware que tienen como objetivo infectar el Registro principal de Arranque

Nuevos Ransomware que tienen como objetivo infectar el Registro principal de Arranque

By
-
0
944

Annabelle y MBRLock son los nuevos ransomware que tienen como objetivo infectar el Registro principal de Arranque o MBR por sus siglas en ingles, lo cuáles no permiten que el sistema operativo inicie  para evitar un scaneo por parte de cualquier herramienta de seguridad.

Como hemos comentado anteriormente, los ransomware evolucionan muy rápido, con nuevas técnicas de evasión en su detección, esto con el objetivo de poder mejorar la persistencia en los equipos objetivos. El ultimo gran ransomware que supimos que tenia este modo de operar, y que ademas se hizo famoso a nivel mundial fue Petya.

Para tener más claridad, el MBR es el primer registro de una unidad de almacenamiento, y se encuentra dentro de los primeros 512 bytes. Este registro contiene la información necesaria para que se pueda proceder con la carga del o los Sistemas operativos que viven en un Disco Duro.

La infección de la MBR en ambos ransomware ocurre cuando el equipo victima procede a un reinicio de sistema, haciendo que el malware reemplace el MBR original dando paso al código malicioso. Una infección a este registro implicaría consecuencias graves para el sistema.

De acuerdo a lo que informa el blog de investigación Quickheal, Annabelle realizará las siguientes acciones:  Encripta todos los archivos del computador y añade una extensión .annabelle a los archivos afectados, intenta desahabilitar el firewall, termina toda una lista de procesos de Seguridad, se despliega en todas las unidades USB y por ultimo, sobrescribe el registro MBR con un código propio. Este ransomware solo tiene como objetivo, dejar inutilizable el sistema.

El malware llama a un DLL para tomar control de las unidades físicas de los sistemas infectados donde escribirá 0x800 en cada unidad física.

Si el usuario decide no pagar el rescate, el malware reemplaza el MBR del sistema por el propio haciendo que ya no se pueda acceder al equipo.

En el caso de MBRLock, fue detectado en febrero de este año. Este ransomware al igual que el anterior tiene como objetivo el MBR de la victima y solicita como rescate un valor de 30 yuan antes de que windows inicie.

El ransomware hace una llamada a createfile API, y con eso toma acceso a la unidad física. Posteriormente cuando llama  a SetFilePointer este configura la variable en cero, cosa de poder acceder a los registros MBR. Este lee los primeros 0x200 bytes de memoria y lode s respalda en los siguientes 0x200 quedando respaldada la información en los 0x400 bytes memoria.
_
La seguridad es importante para evitar este tipo de ataques. Tanto los usuarios particulares como las empresas deben de contar con un buen sistema de respaldos  y con la protección adecuada
______________________________
Fuente: Seguridad y Firewall

Coss Consulting S.A de C.V, Especialistas en Seguridad Informática.

Distrubuidor Preferred Partner de Barracuda Networks en México.

 

 

Related News

El actual director del IMSS, dio a conocer que un supuesto ataque de hackers afecto su equipo celular

Necesita ser prioridad de las empresas invertir en el fortalecimiento de sus redes de ciberseguridad

Banxico investiga a 18 instituciones

Comment

Leave a reply

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *