Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
31/03/2016
Segons els investigadors de G-Data, per a dur a terme la infecció, els estafadors utilitzen correus específicament dissenyats en què s’inclou un enllaç a un allotjament en Dropbox, que simula ser un fals currículum. A diferència d’altres ocasions en què s’han emprat vulnerabilitats per a aconseguir la infecció del sistema, en aquesta ocasió els atacants recorren al mitjà més clàssic i senzill, l’enginyeria social. L’arxiu descarregat en realitat és un executable que inicia la descàrrega i instal·lació del troià en el sistema.
Una vegada instal·lat Petya sobreescriu el MBR (Master Boot Record) del disc dur reemplaçant-lo amb un carregador maliciós i provoca el reinici de l’ordinador. El MBR és la part del sistema que indica a l’ordinador com ha d’arrancar el sistema operatiu. Amb això Windows es reinicia amb el carregador del ransomware, que mostra una pantalla que simula ser un chkdsk. No obstant això durant aquest fals Chkdsk el que realitza és el xifratge de la Master File Table (MFT).
És a dir, Petya no arriba a xifrar tot el disc dur com a tal, la qual cosa portaria massa temps, però una vegada que la MFT queda xifrada (o corrompuda) el sistema no pot saber on s’allotgen els arxius, per la qual cosa queden totalment inaccessibles.
Més informació en la notícia original.