Ransomware Locky Spam

El ramsomware es una amenaza que cada día afecta a cualquier cantidad de usuarios y organizaciones, son muchas las variantes de estos ataques que permiten que un software malicioso acceda a tu computador personal, encriptando la información del equipo y luego solicitar rescate por ellos, rescates que pueden salir caros. De ahí que actualmente los ciberdelincuentes acudan a este tipo de amenazas. Ahora, una variante del ramsomware MBRLocker, se encuentra creando caos en la red.

Se trata de DexCrypt, una variante de la ya conocida MBRLocker que accede al dispositivo y solicita el pago de 30 Yuan para recuperar el acceso y la información. Como es de esperarse, inicialmente esta amenaza afectó a usuarios chinos.

El modo de trabajar el DexCrypt es muy similiar al MBRLocker. El MBR es el primer sector de un disco duro, donde se ubica la información del arranque del sistema. Si los datos de este sector no son los correctos, el sistema operativo nunca arrancará quedando los datos totalmente inaccesibles a través de la vía tradicional. Si el arranque del equipo se detiene al analizar las unidades del disco del sistema entonces el equipo está infectado.

Por su parte el DexCrypt actúa de forma similar, solo que en lugar de cifrar bloquea el arranque normal del equipo alterando la información almacenada del MBR.

Para informar que has sido afectado, los atacantes construyen una calavera en código ASCII que se muestra durante la verificación de la BIOS. Junto a esta, indican la cantidad que se debe pagar y el monedero donde depositar.

¿Qué acciones tomar contra DexCrypt?

Los expertos recomiendan no realizar ningún pago, y acudir a herramientas de restauración del sistema y copias de seguridad para recuperar el acceso a la información bloqueada.

Otra forma de recuperar la información es gracias a una distribución Linux para realizar el montaje del disco o particiones dañadas y recuperar la información necesaria antes de proceder al formateo o reparación.