BackupDrive

Blog

Petya: el troyano dos en uno

copia de seguridad backup empresas

Petya

Infectar el registro de arranque maestro (MBR) y cifrar archivos no es nada nuevo en el mundo de los programas maliciosos.

En 1994, surgió el virus OneHalf  que Infectaba el  MBR  y cifraba el contenido del disco.

En 2011, los troyanos bloqueadores de MBR empezaron a propagarse (Trojan-Ransom.Win32.Mbro)  e impidieron que el sistema operativo se cargara aún más. La víctima fue instada a pagar un rescate para deshacerse del problema.

Era fácil tratar un sistema infectado por estos troyanos bloqueadores porque, aparte del MBR, usualmente no cifraban ningún dato en el disco.

Hoy, hemos encontrado una nueva amenaza que es una explosión del pasado.

El troyano Petya (detectado por los productos de Kaspersky Lab como Trojan-Ransom.Win32.Petr) infecta el MBR que impide la carga normal del sistema y cifra la MFT, una parte importante del sistema de archivos NT (NTFS), evitando así Acceso normal a los archivos del disco duro.

backup criptovirus

Cómo funciona

El archivo ejecutable y el empaquetado.

Una infección de Petya Trojan comienza con el lanzamiento del archivo ejecutable malicioso.

Las muestras del troyano que Kaspersky Lab recibió para su análisis son, al igual que la mayoría de otras muestras de malware, protegidas con un empaquetador personalizado.

Cuando se inicia el archivo ejecutable, el código del empacador malicioso comienza a funcionar: descomprime el DLL malicioso Setup.dll en un área de RAM recién designada y luego pasa el control a ella.

¿Por qué hacerlo de esa manera?

Obviamente, los creadores del empaquetador malicioso estaban tratando de engañar a un investigador desatento o analizadores automáticos: el archivo parece legítimo – WinMain no contiene código malicioso – por lo que es posible que se pasen por alto.

Además, si el punto de interrupción se establece en WinMain durante la depuración, entonces el código malicioso funciona (y envía el sistema a BSOD) y la ejecución se terminará antes de que se alcance el punto de interrupción.

Kaspersky Lab ha detectado muestras de Petya que se enmascaran como archivos legítimos escritos en C / C ++ y en Delphi.

La DLL maliciosa

Setup.dll es una DLL con sólo una exportación: _ZuWQdweafdsg345312 @ 0. Está escrito en C y compilado en Microsoft Visual Studio.

Los creadores utilizaron una implementación de algoritmos criptográficos disponibles en la biblioteca pública mbedtls (anteriormente polarssl). Setup.dll no se guarda en el disco duro como un archivo independiente, pero siempre permanece en la RAM.

Cuando Setup.dll recibe control, descifra los datos contenidos en la sección ‘.xxxx’ y luego procede a infectar el equipo víctima.

Backup anti criptovirus

 

 

fuente

About the Author