{"id":7362,"date":"2016-07-11T13:07:24","date_gmt":"2016-07-11T13:07:24","guid":{"rendered":"https:\/\/latam.kaspersky.com\/blog\/?p=7362"},"modified":"2020-07-03T04:41:23","modified_gmt":"2020-07-03T10:41:23","slug":"satana-ransomware","status":"publish","type":"post","link":"https:\/\/latam.kaspersky.com\/blog\/satana-ransomware\/7362\/","title":{"rendered":"Satana: el ransomware del infierno"},"content":{"rendered":"<p>Este a\u00f1o, las noticias sobre ataques de <em>ransomware\u00a0<\/em>han ido surgiendo sin cesar. A diario, los investigadores encuentras nuevas trazas de <em>ransomware <\/em>y descubren nuevas formas inusuales mediante las que los delincuentes lo usan para robar dinero a consumidores y a negocios. Y en cuanto los expertos en seguridad hacen alg\u00fan avance, los estafadores se inventan nuevas estrategias y t\u00e9cnicas de <em>ransomware<\/em>.<\/p>\n<p>https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/87\/2020\/07\/03044117\/satan-featured.jpg<\/p>\n<p>Hace poco se descubri\u00f3 otro tipo sofisticado de <i>ransomware.<\/i> Se llama Satana (de \u201cSat\u00e1n\u201d), lo que nos hace suponer que quiz\u00e1 su origen sea ruso. El troyano hace dos cosas: cifra archivos y corrompe el registro de arranque principal (MBR por sus siglas en ingl\u00e9s), bloqueando as\u00ed el proceso de inicio de Windows.<\/p>\n<p>Ya hemos hablado de troyanos que afectan el MBR, como <a href=\"https:\/\/latam.kaspersky.com\/blog\/petya-ransomware\/8044\/\" target=\"_blank\" rel=\"noopener\">el infame Petya<\/a>. En ciertos aspectos, Satana se comporta de forma parecida, como por ejemplo al introducir su propio c\u00f3digo en el MBR. Aun as\u00ed, mientras Petya cifra la tabla maestra de archivos (MFT por sus siglas en ingl\u00e9s), Satana cifra el MBR. Para cifrar los archivos del PC, Petya necesita la ayuda de su compa\u00f1ero troyano <a href=\"https:\/\/latam.kaspersky.com\/blog\/mischa-ransomware\/8345\/\" target=\"_blank\" rel=\"noopener\">Mischa<\/a>. Satana realiza ambas tareas por s\u00ed mismo.<\/p>\n<blockquote class=\"twitter-tweet\" data-width=\"500\" data-dnt=\"true\">\n<p lang=\"en\" dir=\"ltr\"><a href=\"https:\/\/twitter.com\/hashtag\/Petya?src=hash&amp;ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">#Petya<\/a> <a href=\"https:\/\/twitter.com\/hashtag\/ransomware?src=hash&amp;ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">#ransomware<\/a> eats your hard drives \u2013 <a href=\"https:\/\/t.co\/BSqbmRBmGf\" target=\"_blank\" rel=\"noopener nofollow\">https:\/\/t.co\/BSqbmRBmGf<\/a> <a href=\"https:\/\/t.co\/WpvijrPlSP\" target=\"_blank\" rel=\"noopener nofollow\">pic.twitter.com\/WpvijrPlSP<\/a><\/p>\n<p>\u2014 Kaspersky (@kaspersky) <a href=\"https:\/\/twitter.com\/kaspersky\/status\/715232633316384772?ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">March 30, 2016<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<p>Para los que no est\u00e9n familiarizados con el funcionamiento interno de las computadoras, se lo vamos a explicar. El MBR es una parte del disco duro que contiene la informaci\u00f3n sobre el sistema de archivos utilizado por las diferentes particiones del disco; de igual modo, contiene en qu\u00e9 partici\u00f3n se almacena el sistema operativo.<\/p>\n<p>Si el MBR se corrompe, o se cifra, la computadora pierde el acceso a una informaci\u00f3n cr\u00edtica: en qu\u00e9 partici\u00f3n se almacena el sistema operativo. Si la computadora no puede encontrar el sistema operativo, no puede iniciarse. Los desarrolladores de este <i>ransomware<\/i> aprovecharon para mejorar su <i>cryptolocker<\/i> con las capacidades de un <i>bootlocker<\/i>. Los <i>hackers<\/i> modifican el MBR para reemplazarlo con el c\u00f3digo de la nota de rescate, cifran el original y lo mueven a otra parte.<\/p>\n<p>El <i>ransomware<\/i> pide unos 0.5 <i>bitcoins<\/i> (aproximadamente 300 \u20ac) para descifrar el MBR y entregar la clave para descifrar los archivos afectados. Una vez se paga el rescate, los creadores de Satana dicen que restaurar\u00e1n el acceso al sistema operativo y har\u00e1n que todo sea como antes. O al menos eso dicen.<\/p>\n<p>Una vez dentro del sistema, Satana analiza los discos y la red en busca de archivos con las extensiones .bak, .doc, .jpg, .jpe, .txt, .tex, .dbf, .db, .xls, .cry, .xml, .vsd, .pdf, .csv, .bmp, .tif, .1cd, .tax, .gif, .gbr, .png, .mdb, .mdf, .sdf, .dwg, .dxf, .dgn, .stl, .gho, .v2i, .3ds, .ma, .ppt, .acc, .vpd, .odt, .ods, .rar, .zip, .7z, .cpp, .pas, and .asm y empieza a cifrarlos. Tambi\u00e9n a\u00f1ade una direcci\u00f3n de e-mail y tres guiones bajos al principio del nombre del archivo (por ejemplo, test.jpg pasa a ser Sarah_G@ausi.com___test.jpg).<\/p>\n<p>https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/87\/2020\/07\/03044122\/satan_mbr_en.png<\/p>\n<p>Las direcciones de e-mail sirven de informaci\u00f3n de contacto para las v\u00edctimas y se supone que han de escribir a dicha direcci\u00f3n para recibir instrucciones de pago y obtener la clave de descifrado. Hasta ahora, los investigadores han visto que se han usado seis direcciones de e-mail en esta campa\u00f1a.<\/p>\n<p>La buena noticia es que es posible saltarse parcialmente el bloqueo. Con ciertas habilidades, se puede reparar el MBR. Los expertos del blog The Windows Club han publicados unas <a href=\"http:\/\/www.thewindowsclub.com\/repair-master-boot-record-mbr-windows\" target=\"_blank\" rel=\"noopener nofollow\">instrucciones<\/a> para restablecer el MBR mediante la herramienta de restauraci\u00f3n de Windows. Aun as\u00ed, dicha caracter\u00edstica est\u00e1 dise\u00f1ada para usuarios expertos que est\u00e1n acostumbrados a trabajar con el s\u00edmbolo del sistema y con la utilidad bootrec.exe. Por ello, es improbable que un usuario corriente utilice este m\u00e9todo complicado y seguramente se sienta inc\u00f3modo al intentarlo.<\/p>\n<p>La mala noticia es que aunque consigamos desbloquear Windows, seguimos teniendo la otra mitad del problema: los archivos cifrados. A\u00fan no se dispone de cura para esta parte.<\/p>\n<p>En este momento, Satana parece haber empezado su carrera como <i>ransomware<\/i>. No se ha extendido y los investigadores han encontrado algunos errores en su c\u00f3digo, pero hay posibilidades de que mejore y de que con el tiempo se convierta en una amenaza seria.<\/p>\n<blockquote class=\"twitter-tweet\" data-width=\"500\" data-dnt=\"true\">\n<p lang=\"en\" dir=\"ltr\">10 tips to protect your files from ransomware <a href=\"https:\/\/t.co\/o0IpUU9CHb\" target=\"_blank\" rel=\"noopener nofollow\">https:\/\/t.co\/o0IpUU9CHb<\/a> <a href=\"https:\/\/twitter.com\/hashtag\/iteducation?src=hash&amp;ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">#iteducation<\/a> <a href=\"https:\/\/t.co\/I47sPIiWFF\" target=\"_blank\" rel=\"noopener nofollow\">pic.twitter.com\/I47sPIiWFF<\/a><\/p>\n<p>\u2014 Kaspersky (@kaspersky) <a href=\"https:\/\/twitter.com\/kaspersky\/status\/671348678607642624?ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">November 30, 2015<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<p>Nuestro mayor consejo para los usuarios es que por ahora tengan cuidado constantemente. Nuestras recomendaciones te ayudar\u00e1n a minimizar el riesgo de infecci\u00f3n y mantenerte alejado de posibles problemas.<\/p>\n<p><b>1. Haz copias de seguridad a menudo<\/b><\/p>\n<p>Esta es tu p\u00f3liza de seguros. En caso de un ataque de <i>ransomware<\/i> tenga \u00e9xito, puedes reinstalar el sistema operativo y recuperar los archivos desde las copias de seguridad.<\/p>\n<p><b>2. No visites p\u00e1ginas web sospechosas ni tampoco abras adjuntos misteriosos en e-mails<\/b>, aunque provengan de una persona que conozcas. Ten mucho cuidado: se sabe poco de las t\u00e9cnicas de propagaci\u00f3n de Satana.<\/p>\n<p><b>3. Aseg\u00farate de utilizar una soluci\u00f3n de antivirus fiable<\/b>. <a href=\"https:\/\/kas.pr\/KIS16LAT\" target=\"_blank\" rel=\"noopener\">Kaspersky Internet Security<\/a> detecta Satana con el nombre de Trojan-Ransom.Win32.Satan e impide que cifre tus archivos o que bloquee el sistema operativo.<\/p>\n<p><strong>4. Y, por supuesto, \u00a1sigue nuestras noticias!<\/strong><\/p>\n<p>Siempre intentaremos informarte sobre las nuevas amenazas lo antes posible para que el malware no te pille desprevenido.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Un ransomware nuevo llamado Satana cifra tus archivos e impide que el sistema operativo se inicie.<\/p>\n","protected":false},"author":2194,"featured_media":7363,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[3145,6,2737],"tags":[638,2636,472,2637,390],"class_list":{"0":"post-7362","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-threats","8":"category-news","9":"category-privacy","10":"tag-amenazas","11":"tag-cryptoblockers","12":"tag-ransomware","13":"tag-satana","14":"tag-troyano"},"hreflang":[{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/satana-ransomware\/7362\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/satana-ransomware\/7389\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/satana-ransomware\/7413\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/satana-ransomware\/8652\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/satana-ransomware\/8602\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/satana-ransomware\/12442\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/satana-ransomware\/2260\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/satana-ransomware\/12558\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/satana-ransomware\/5808\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/satana-ransomware\/6406\/"},{"hreflang":"pl","url":"https:\/\/plblog.kaspersky.com\/satana-ransomware\/5097\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/satana-ransomware\/8155\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/satana-ransomware\/11998\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/satana-ransomware\/12442\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/satana-ransomware\/12558\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/satana-ransomware\/12558\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/latam.kaspersky.com\/blog\/tag\/amenazas\/","name":"amenazas"},"_links":{"self":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts\/7362","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/users\/2194"}],"replies":[{"embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/comments?post=7362"}],"version-history":[{"count":2,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts\/7362\/revisions"}],"predecessor-version":[{"id":19229,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts\/7362\/revisions\/19229"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/media\/7363"}],"wp:attachment":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/media?parent=7362"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/categories?post=7362"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/tags?post=7362"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}