protege tu PC de los ataques al sistema de arranque

Esta herramienta protege tu PC de los ataques al sistema de arranque y actúa como un filtro el cual bloquea los ataques aleatorios y de otros programas maliciosos al sistema de arranque maestro.

El equipo Talos de Cisco Systems ha desarrollado una herramienta de código abierto que puede proteger el registro maestro de arranque de los computadores con Windows de la modificación por ransomware y otros ataques maliciosos.

La herramienta, llamada MBRFilter, funciona como un controlador de sistema y pone el sector del disco 0 en un estado de sólo lectura. Está disponible para las versiones de Windows de 32 bits y de 64 bits y su código fuente ha sido publicado en GitHub.

El registro de arranque maestro (MBR) consiste en un código ejecutable que se almacena en el primer sector (sector 0) de una unidad de disco duro y lanza el cargador de arranque del sistema operativo. El MBR también contiene información acerca de las particiones del disco y de sus sistemas de archivos.

Dado que el código MBR se ejecuta antes de que el sistema operativo, este puede ser objeto de ataques por parte de los programas de malware y así ganar una ventaja por encima de los programas antivirus. Los programas de malware que infectan el MBR para esconderse de los programas antivirus han sido históricamente conocidos como bootkits, vale decir, rootkits de nivel de arranque.

Microsoft intentó resolver el problema de los bootkits mediante la aplicación de la verificación criptográfica del cargador de arranque en Windows 8 y posterior. Esta función se conoce como arranque seguro y se basa en la Unified Extensible Firmware Interface (UEFI), del BIOS moderno.

El problema es que el arranque no funciona en todos los equipos y tampoco para todas las versiones de Windows y no admite discos con particiones MBR en absoluto. Esto significa que todavía hay un gran número de equipos por ahí que no se benefician de ello y siguen siendo vulnerables a los ataques de MBR.

Más recientemente, los creadores de ransomware también han comprendido el potencial de abusar del MBR en sus ataques. Por ejemplo, el ransomware Petia, que apareció en marzo, reemplaza el MBR por un código malicioso que cifra la tabla maestra de archivos de la partición del sistema operativo (MFT) cuando se reinicia el equipo.

El MFT es un archivo especial en las particiones NTFS que contiene información sobre todos los demás archivos: su nombre, el tamaño y la cartografía de los sectores del disco duro. El cifrado de la MFT hace que toda la partición del sistema se vuelva inutilizable y evita que los usuarios puedan utilizar sus computadores.