Petya es la nueva amenaza venida de la Deep Web en el terreno del ransomware. Este virus funciona de forma similar a CryptoLocker, si bien en lo esencial aporta novedades.
Hombre, por el tipo de cifrado y lo que cifra, casi lo prefiero a otros.
Se supone que se cepilla el MBR y la MTF.
Perfecto.
Pero un repaso al disco con herramientas forenses permite localizar los archivos, con un problema de partida. No sabes ni como se llama el archivo ni donde estaba.
Pero si sabrás si es de determinado tipo.
Creo que es una putada de virus y hoy he tenido un cliente nuevo con uno de estos y sin backup, ni reciente ni añejo.
Pero de cifrar el contenido del archivo a que solo lo haga del MTF y el MBR, prefiero este.
Los datos están, sin cifrar, pero están. Solo hay que encontrarlos.
Las malas noticias es el coste de la recuperación vs coste del rescate.
Está calibrado para que salga a su favor.
#7 Fixmbr también lo puedes ejecutar desde el modo consola de Windows. Pero si te tira abajo el MTF olvídate de los datos. Es como tener un libro de mil paginas sin numerar tiradas en el suelo y sin ordenar.
Como dice #4 técnicamente lo puedes recuperar pero te sale más caro que pagando.
Lo que es absurdo es que Windows no haga backups de los MFT del sistema al igual que en los puntos de restauración se incluyen ficheros de sistema, registro, etc.
Esto facilitaría mucho las cosas para recuperar un equipo afectado aunque no es la solución perfecta, ya que a no ser que se hagan copias del MFT en tiempo real siempre vas a perder archivos al restaurarlo.
Eso no es un virus. No se oculta, no se cuela, no se auto-propaga,... en fin, es simplemente aprovecharse del analfabetismo funcional de gran parte de los internautas que son capaces de ejecutar un programa que no saben lo que hace.
La parte buena es lo que decía Wyoming: Se sufre, pero se aprende.
#13 Efectivamente, pero creo que si eso sale hay que bajar corriendo a comprar el cupon, que estas de suerte.
A la larga me parece menos peligroso que los otros randsonware, que es malo, pero dentro del nive de hijoputismo que hay por ahí, es más llevadero. Eso si, al hacer eso, actúa más inmediatamente que los otros, con lo que detenerlo al ver el primer síntoma se complica
Una de las posibles soluciones (a medias obviamente) si no se quiere pagar es sacar el disco duro, conectarlo externamente a otro ordenador con un software de recuperación de datos tipo Disk Drill en Mac. De este modo he recuperado varios archivos, fotos y datos de ordenadores infectados con cryptolocker.
¿Los que tenemos una partición exclusivamente para Windows podemos seguir haciendo la típica técnica desesperada de formatear la partición del S.O., reinstalar Windows y a correr; o esto se carga la información de todo el disco duro independientemente de que esté particionado?
¿Sólo afecta al HDD que tenga la carpeta de Windows o afecta a todos los discos del equipo (por. ej. un disco duro externo que sólo se use para guardar archivos personales)?
Asumo que para comprobar que se ha realizado el pago, tendrá que conectarse a algún servidor (blockchain si es BTC o lo que sea dependiendo de la tecnología que use).
Me pregunto como hace eso si se ha cargado la MBR y el SO no arranca?
#12 De nada serviria que Windows hiciera copias de seguridad de la MFT ya que esta cambia a cada segundo con cualquier operacion de archivos que haga el sistema, si se restaura una MFT antigua quedaria un sistema de archivos inconsistente y seria un completo desastre de todos modos, serviria de muy poco o nada.
MoTherFuckers ¿qué es MTF? Al principio creí que era un error al escribir, pero ya van cinco veces.
#37 Más bien, el aire en el 99% de los casos se usa para cosas normales, lo otro en el 99% de los casos se usa para delinquir. Igual que con los cuchillos, con uno puedes matar pero normalmente lo usas en cocina. CC #24
#38: Y igual que los Bitcoins. ¿A caso crees que sólo se usan para delinquir? En tal caso no tendrían valor. En cambio si se pueden usar para hacer pagos o cobros en Internet sin pagar a 200 intermediarios.
#38 el indice donde se guarda cada fichero en un sistema de archivos NTFS.
Se jode el MFT : No encuentras nada. Cero. No hay nada asignado físicamente. Se puede recuperar con testdisk, claro, pero no puedes recuperar la partición.
#43 como usuario domestico de linux, estoy a salvo. Para mi uso diario en el PC no voy a tener un server metido. Y aunque lo tuviese, yo soy inmune. Otra cosa es que sirva esos virus a maquinas windows, que efectivamente se la liaria. Un usuario de windows esta vendido con hacer un solo clic (y un servidor ya ni te cuento) estos ramsonwares van a dar muuucho que hablar. Son terroríficos. Mientras siga habiendo windows en las empresas, que son los que pagan rescate básicamente, mala solución le veo.
#31 Si no eres un paranoico como yo 6 años usando Linux y sigo sin usar el pc tranquilo. Siempre estoy pensando que sin antivirus tampoco me enteraré si algún día me entra algo. En Windows te entraban muchos pero te enterabas.
#48 Pero eso es ya... paranoia ¿no? ¿te ha entrado algún bicho en todos esos años? Con linux solo tienes que tener cuidado de lo que escribes en la consola. Ojo con la PPA que añadas de sitios raros o poco fiables... y ya está. lo mas peligroso que si que me da miedo algo de miedo a mi también es lo común a todos los sistemas: que alguien se meta en tu red y te haga un MITM, cosas ya muy chungas que a un particular no deberían de preocuparnos. Creo yo. Y si te preocupa pues ya te tienes que ir a una gama de aparatitos (firewalls, UTM...) profesionales pagar bastante pasta por el cacharro y por las licencias y ya mas tranquilo no puedes estar. O si te sobra mas tiempo que pasta, un buen router flaseado con OpenWRT (que es lo que uso yo) te permite controlar bastantes de las cosas que te ofrece una solución profesional de una forma mas enrevesada de configurar y mas modesta en medios, pero suficiente para una casa protegida. Lo siento por el tostón
#33 Hombre, son los datos los que valen las pelas y, de todas formas, el disco duro infectado (o afectado, que yo tampoco claro que esto sea un virus) lo puedes formatear y ya tienes disco duro limpio. ¿Se puede formatear, no? Se quitan particiones y ya está, o al afectar la MBR esa ya no se puede ni formatear?
#12 Lo que es más increíble a estas alturas de la película es no tener un calendario de backups de imágenes, preferiblemente en una copia remota conetactada sólo para tal fin.
#24 Ese comentario me ha hecho pensar en otra cosa, el autor del virus tiene que comer, me parece normal que cobre por su trabajo, algunos esperan que de "conciertos".
#53 Claro, claro, son paranoias mías, si ni añado PPAs de sitios raros ni nada. Que yo sepa no me ha entrado nada raro en todo este tiempo, pero es eso, tampoco lo sé. Para Windows tienes mil programas para buscar virus, malwares, troyanos... pero para Linux no hay casi nada y lo que hay sólo detecta los virus para Windows o son falsos positivos como los de rkhunter o chkrootkit
#28 Reitero. Hablo de los datos "borrados" antes de la infección. Yo he recuperado muchísimas fotos así en varios ordenadores. No todo obviamente, pero si alguna vez le pasas un software de recuperación de datos a tu disco duro, verás la cantidad de datos recuperable. El ransomware no infecta los archivos que cuentan como "borrados" y es ahí donde se puede intentar recuperar. No hablo de los archivos que hayan sido encriptados obviamente.
#63 eso es que estas awindosado. Como no hay un programa recordandote cada 5 minutos que esta en ejecucion y protegiendote pues ya no te sientes seguro.
#17 Te equivocas. Un bitcoin se puede rastrear, el problema reside en que el dueño del monedero de destino es anónimo. Por lo que ese dinero que recauda no lo puede utilizar para comprar bienes y servicios legales ni cambiarlo por dinero (en las casas de cambios te piden hasta copia del DNI o pasaporte). Para lo único que le valdría sería para pagar bienes y servicios también ilegales.
#74 ¿cuando he hablado yo de ubuntu? Si no lo uso. De hecho yo uso Mint DE y debian 8.
Es difícil que el firmware OPEN wrt de las rwpos oficiales tenga un troyano. En cualquier caso si no te fias siempre puedes compilarlo tu. Yo lo he hecho y tardas 10 minutos.
Pero entonces ya de windows y sus troyanos, backdoors y opacidad absoluta ni hablamos ¿no?
#82 nada hombre. El código no va a estar comprometido. Los piratas no suelen publicar el código de sus troyanos y backdoors en github... Cados comonel que dices dan el cambiazo a los binarios y para librarte del peligro es tan facil como comprobar el md5 de lo que descargues. Pero vamos que tener miedo de algo como lo de transmisión, es como no salir a la calle por si te atracan. Pero si. Puntualmente hay alguna. Incluso comprometieron todo linuxmint hace poco. Pero son backdoors que si tienes tan mala suerte de comertelo como mucho te va a durar un día.
#12 Existe lo que se denomina MFT Mirror (el cual es un backup del MFT) al igual que se hacen copias del superblock en una partición ext2/3/4 por toda la partición.
Claro está, si cifras el backup, estás en las mismas.
Se supone que se cepilla el MBR y la MTF.
Perfecto.
Pero un repaso al disco con herramientas forenses permite localizar los archivos, con un problema de partida. No sabes ni como se llama el archivo ni donde estaba.
Pero si sabrás si es de determinado tipo.
Creo que es una putada de virus y hoy he tenido un cliente nuevo con uno de estos y sin backup, ni reciente ni añejo.
Pero de cifrar el contenido del archivo a que solo lo haga del MTF y el MBR, prefiero este.
Los datos están, sin cifrar, pero están. Solo hay que encontrarlos.
Las malas noticias es el coste de la recuperación vs coste del rescate.
Está calibrado para que salga a su favor.
wtf.microsiervos.com/matrix/mamadou-ngolo-mago-voodoo-solucion-todos-t
Si es Windows, desde Linux tienes un comando llamado "fixmbr".
Sobre el MFT, quizá con testdisk se puede recuperar.
Como dice #4 técnicamente lo puedes recuperar pero te sale más caro que pagando.
Esto facilitaría mucho las cosas para recuperar un equipo afectado aunque no es la solución perfecta, ya que a no ser que se hagan copias del MFT en tiempo real siempre vas a perder archivos al restaurarlo.
Si no, adiós y a usar testdisk para recuperar lo que sea.
La parte buena es lo que decía Wyoming: Se sufre, pero se aprende.
A la larga me parece menos peligroso que los otros randsonware, que es malo, pero dentro del nive de hijoputismo que hay por ahí, es más llevadero. Eso si, al hacer eso, actúa más inmediatamente que los otros, con lo que detenerlo al ver el primer síntoma se complica
EDIT: y tal como está propuesto da mucho igual lo que tengas, que el disco parece que se cifra entero.
Si no hubiera BTCs te mandarían ingresar el dinero en alguna cuenta corriente por ahí.
¿Sólo afecta al HDD que tenga la carpeta de Windows o afecta a todos los discos del equipo (por. ej. un disco duro externo que sólo se use para guardar archivos personales)?
Me pregunto como hace eso si se ha cargado la MBR y el SO no arranca?
MoTherFuckers ¿qué es MTF? Al principio creí que era un error al escribir, pero ya van cinco veces.
#37 Más bien, el aire en el 99% de los casos se usa para cosas normales, lo otro en el 99% de los casos se usa para delinquir. Igual que con los cuchillos, con uno puedes matar pero normalmente lo usas en cocina. CC #24
Se jode el MFT : No encuentras nada. Cero. No hay nada asignado físicamente. Se puede recuperar con testdisk, claro, pero no puedes recuperar la partición.
Más de uno caerá pensando que es el aviso de licencia
#40 con los bitcoins ocurre al reves, son mas los usos malos que los buenos.
Lo de mi mensaje anterior es para aquellos que no tenga nada que perder en lo que datos se refiere.
Será cierto pero me parece extraño.
Es difícil que el firmware OPEN wrt de las rwpos oficiales tenga un troyano. En cualquier caso si no te fias siempre puedes compilarlo tu. Yo lo he hecho y tardas 10 minutos.
Pero entonces ya de windows y sus troyanos, backdoors y opacidad absoluta ni hablamos ¿no?
Claro está, si cifras el backup, estás en las mismas.