… por si fuera poco, también aparece un chantajista que ataca el MBR

Mi colega Vitaly Kamluk publicó hoy una entrada sobre un nuevo programa chantajista similar a GpCode que codifica los datos de los usuarios con algoritmos de codificación RSA.1024 y AES-256. Seguimos investigando este programa y os mantendremos informados.

Pero GpCode.ax no es el único ransomware que descubrimos hoy. Acabamos de descubrir un programa malicioso que modifica el Master Boot Record (MBR) y exige un pago a cambio de entregar una contraseña para restablecerlo. Detectamos este programa como Trojan-Ransom.Win32.Seftad.a y Trojan-Ransom.Boot.Seftad.a.

El troyano Trojan.Win32.Oficla.cw descarga esta nueva amenaza.

Si Oficla.cw descarga y ejecuta Seftad.a, el PC de la víctima se reinicia y el siguiente mensaje aparece en pantalla:

La víctima no conoce la contraseña que se solicita. Así que el ordenador infectado se reinicia después de tres intentos fallidos y vuelve a mostrar el mismo mensaje.

Los símbolos que se escriben se leen con INT 16h y se utiliza el siguiente procedimiento para calcular el valor y compararlo con una función hash de 2 bytes:

Por suerte, los discos duros y archivos no están codificados como asegura el creador del malware. Este programa chantajista solo superpone un MBR malicioso sobre el original:

El MBR original se guarda en el cuarto sector del disco duro y guarda el marcador de la infección de malware en 0x9FE:

El cibercriminal pide a las víctimas que ingresan a su sitio web que le envíen $100 mediante ‘Paysafecard’ o ‘Ukash’.

Si esta amenaza te ha infectado no visites el sitio. Escribe la contraseña ‘aaaaaaciip’ (sin comillas) para restablecer el Master Boot Record a su estado original. Si la contraseña no funciona, puedes utilizar Kaspersky Rescue Disk 10 para solucionar el problema.