En éste artículo se acompaña una herramienta para combatir el ransomware que sobreescribe el registro maestro de inicio produciendo un reinicio del sistema y cifrado de la tabla maestra de archivos (MBR).
http://blog.talosintel.com/2016/10/mbrfilter.html?m=1#more
Traducción Google:
RESUMEN
Ransomware se ha vuelto cada vez más frecuente en la industria, y en muchos casos, a menos que haya un descifrador lanzado a disposición del público, a menudo no es un medio fácil de recuperar archivos cifrados una vez que un sistema ha sido infectado. Además de la creación y el mantenimiento de las copias de seguridad regulares del sistema, cada vez es más importante centrarse en una arquitectura de red de múltiples niveles de defensa en profundidad en un esfuerzo por prevenir la infección inicial punto final. Esto es a menudo difícil en un entorno de amenazas en evolución donde las nuevas familias ransomware se van desarrollando al parecer todos los días por los agentes de amenaza de diversos niveles de sofisticación.
Mientras que muchas familias ransomware se centran en el cifrado de la totalidad o partes de archivos a otros de un sistema de destino, tales como Petia, depender de sobrescribir el contenido del registro de inicio maestro (MBR) para forzar un reinicio del sistema entonces sólo cifrar la tabla maestra de archivos (MFT) de la unidad de disco duro en los sistemas infectados como una manera de forzar a los usuarios a pagar a los actores amenaza para recuperar las claves de cifrado necesarias para descifrar sus archivos.
Para ayudar a combatir el ransomware que se intenta modificar el MBR, Talos ha lanzado una nueva herramienta para la comunidad de código abierto, MBRFilter, un controlador que permite que el MBR para ser colocado en un modo de sólo lectura , impidiendo que el software malintencionado escrito o modificar el contenido de esta sección del dispositivo de almacenamiento.
DETALLES
El MBR es un lugar especial de almacenamiento en el comienzo (Sector 0) de los dispositivos de almacenamiento masivo. Se utiliza para almacenar información relacionada con cómo se divide el dispositivo de almacenamiento, así como los detalles sobre la configuración del sistema de archivos en el dispositivo.Además, el MBR se utiliza para almacenar gestor de arranque del sistema operativo, que se utiliza para cargar el sistema operativo instalado en el sistema cuando está encendido.
Petia es una variante ransomware que funciona por sobrescribir el MBR de los sistemas infectados y la sustitución de la bota cargador con uno malintencionado.Este cargador de arranque malicioso se utiliza para cifrar la tabla maestra de archivos (MFT) situado en el dispositivo de almacenamiento. NTFS sistemas de archivos utilizan la MFT para almacenar información detallada sobre todos los archivos y directorios almacenados en el sistema de archivos. Aunque Petya no cifra completamente todo el contenido del dispositivo de almacenamiento, ya que hace que la MFT ilegible, es extremadamente difícil de recuperar o restaurar archivos una vez que un sistema ha sido infectado.
En un esfuerzo para evitar que el malware, como Petya, de ser capaz de manipular contenido del MBR, incluyendo la MFT, Talos ha lanzado el conductor MBRFilter a la comunidad de código abierto. MBRFilter es un filtro de disco sencillo basado en los conductores y diskperf ejemplo Classpnp de Microsoft. Se puede utilizar para evitar que el malware escrito a Sector 0 en todos los dispositivos de disco conectadas a un sistema. Una vez instalado, el sistema tendrá que ser arrancado en modo seguro con el fin para el sector 0 del disco para convertirse en disponibles para su modificación.
Las funciones de utilidad AccessMBR mediante la lectura de sector 0 de 0 Unidad Física y escribe ese sector de vuelta al disco. AccessMBR permite la prueba del controlador de MBRFilter pero no se requiere si uno es simplemente utilizando el controlador para proteger un ordenador.
A continuación es un video de demostración que muestra cómo el controlador MBRFilter se puede utilizar para proteger contra el malware que los intentos de manipular el MBR de un sistema de , en este caso Petya ransomware:
CONCLUSIÓN
Por la liberación de esta solicitud a la comunidad de código abierto, Talos está ayudando a la dirección de la comunidad las amenazas asociadas con el malware distintos y ransomware basado en MBR.
La liberación de código abierto se puede obtener aquí .
Además del código de fuente abierta de ser liberado, Talos es también la liberación de un controlador firmado que puede ser instalado en las instalaciones de Windows de 32 bits y de 64 bits. La instalación se realiza pulsando el botón derecho sobre el archivo INF incluido en el archivo Zip vinculado y seleccionando Instalar. La instalación requiere un reinicio del sistema.
La instalación de 32 bits se puede obtener aquí .
(SHA256: 3696aaa457d611eb1843fa7ab9b2235ab09b4af7f4ba09c7b56603e87a5551e3)
La instalación de 64 bits se puede obtener aquí .
(SHA256: a1aa4c59258f3459fb9612eea81c3805ba23e2bd8ff28bad5cf40c94c099fd19)
Latest posts by Jose Miguel (see all)
- Curso básico de ciberseguridad: Módulo 6 - 8 marzo, 2025
- Curso básico de ciberseguridad: Módulo 5 - 1 marzo, 2025
- Curso básico de Ciberseguridad: Módulo 4 - 28 diciembre, 2024
- Curso Básico de Ciberseguridad. Módulo 3 - 21 diciembre, 2024
- Episodio 7: Qué es el ‘Scareware’ - 29 noviembre, 2024
