El nuevo ransomware Petya sobrescribe el registro de arranque principal (MBR) de los equipos afectados y deja al sistema operativo sin un estado de inicio, afirman investigadores de la firma de antivirus Trend Micro en una entrada de blog.

El MBR es un código almacenado en los primeros sectores del disco duro, contiene información sobre las particiones y permite iniciar el cargador de arranque del sistema operativo. Sin un apropiado MBR, la computadora no conoce qué partición contiene el sistema operativo y cómo iniciarla.

Investigadores de Trend Micro dicen que Petya se distribuye a través de correos electrónicos no deseados (spam) haciéndose pasar por solicitudes de empleo. Esto sugiere que los creadores tienen como objetivo un tipo de negocio en particular, al dirigir los mensajes a los departamentos de recursos humanos.

Los correos electrónicos contienen un vínculo de una carpeta compartida en Dropbox, la cual contiene un archivo auto extraíble que se hace pasar por una solicitud de CV y una foto falsa. Si el archivo es descargado y ejecutado, el ransomware es instalado.

El programa malicioso puede volver a escribir el MBR de la computadora y lanzar un error crítico de Windows que puede causar el reinicio a la computadora, una condición conocida como la pantalla azul de la muerte (BSOD, por sus siglas en inglés).

Al reiniciarse, el código malicioso del MBR muestra una falsa comprobación de disco de Windows la cual normalmente aparece después de un error en el disco duro, según los expertos informáticos del foro de soporte técnico BleepingComputer.com.

Durante esta operación, el actual ransomware cifra la tabla maestra de archivos (MFT); este es un archivo especial en particiones NTFS que contiene información acerca de todos los otros archivos: su nombre, tamaño y asignación a los sectores del disco duro.

Petya no cifra los datos del archivo en sí, se llevaría mucho tiempo para todo el disco duro, pero al cifrar el MFT el sistema operativo ya no sabe dónde están los archivos que se encuentran en el disco. Los datos del archivo todavía se pueden leer con aplicaciones de recuperación de datos, pero la reconstrucción de los archivos reales sería probablemente un proceso largo e inexacto, especialmente en el caso de los archivos fragmentados que están distribuidos en diferentes bloques de almacenamiento en diferentes regiones del disco.

Después de que se cifra el MFT, el código MBR de Petya mostrará el mensaje de rescate acompañado de una calavera dibujada en caracteres ASCII. El mensaje indica a los usuarios como acceder al sitio de descifrado de los atacantes en la red anónima Tor y les proporciona un código único que identifica a su computadora.

El precio de la llave para descifrar el MFT es de 0.99 bitcoins (BTC) o casi 430 dólares.

Por ahora, la campaña de SPAM de Petya fue vista en empresas de Alemania, pero no hay garantía de que permanecerá sólo ahí. De hecho muchos ataques de ransomware comienzan con un país o región y luego crecen a una escala global conforme los atacantes obtienen más recursos.