El nuevo y peligroso Ransomware Petya

Compartir

Este año ha sido un año muy sonado por los ya famosos y conocidos Ransomware pero, ¿que es un ransomware?, ¿cómo funciona?, debo preocuparme?

El Ransomware es  un software malicioso que al infectar nuestro equipo le da al ciberdelincuente la capacidad de bloquear el PC desde una ubicación remota y encriptar nuestros archivos quitándonos el control de toda la información y datos almacenados. Para desbloquearlo el virus lanza una ventana emergente en la que nos pide el pago de un rescate.

Con la definición anteriormente mencionada no cabe duda que debe existir cierta preocupación contra los Ransomware, pero la preocupación aumenta estos años debido a que los ransomware comenzaron a evolucionar significativamente, hoy en día las nuevas versiones de ransomware utilizan un cifrado asimétrico fuerte con largas claves para que los archivos no puedan ser descifrados sin ellas. Los criminales han empezado a utilizar TOR y los pagos en Bitcoins para permanecer en el anonimato. Por ello en este post les mostraremos alternativas para estar protegidos pero primero hablaremos del Ransomware Petya.

Ransomware Petya

Este nuevo ransomware a destacado de otros por una característica significativa, a logrado  cifrar todo el disco duro al mismo tiempo en lugar de cifrar los archivos uno a uno como lo hacían otros ransomware.

Petya es una pieza de ransomware descubierto por G Data Security Labs. Su objetivo son los usuarios empresariales y se distribuye a través de correos electrónicos con spam que parecen contener solicitudes de trabajo. La situación estándar de una infección es así:

Un empleado de recursos humanos de una empresa recibe un correo de una persona que busca un puesto de trabajo en la compañía. El correo contiene un enlace a Dropbox que redirige a un archivo que parece ser un currículum vitae, pero, que en realidad es un archivo .exe.

csm_12443128_966761246740226_314967621_n_5c8be0cf7b

 

 

Cuando se ejecuta el archivo exe, el PC se bloquea con una pantalla azul y se reinicia. Antes del reinicio, el registro de arranque maestro (MBR) del sistema es manipulado de manera que permite Petya controlar el proceso de arranque. Cuando se reinicia el sistema muestra lo siguiente:

Petya-Processing

 

 

Este diálogo pretende ejecutar una comprobación del sistema, pero de hecho este es el punto donde los archivos en el PC son inaccesibles para el usuario. A partir de esta escritura en que los archivos no están cifrados, sólo el acceso a los archivos es bloqueado pero los archivos no se cifran.

Finalmente observa que cometió un error cuando Petya muestra sus verdaderos colores una vez finalizada la comprobación del supuesto sistema.
csm_petya_98d3b027ca-1

Tras pulsar una tecla como lo indica, aparecen las instrucciones.

Para cubrir sus pistas, los atacantes detrás de Petya hace uso de TOR.
Petya-RansomNote
En la página web se afirma aún más que el disco duro estaba cifrado utilizando un“algoritmo de cifrado de grado militar”. Para obtener más información muestra cómo obtener una clave de descifrado y cómo pagar por ello. Después de siete días se duplica el precio de la clave de descifrado.
csm_Petya-RansomSite_8ebf23a247

Compartir

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *