Petya, la evolución del ransomware

A pesar de que sólo lleva en circulación unas semanas, el ransomware Bitcoin Petya ha demostrado ser, hasta el momento, uno de los más dañinos. Esto ocurre porqué no sólo cifra los archivos del ordenador afectado por el ataque de malware, sino que además, realiza la misma acción de forma recurrente en cualquier copia de seguridad que el usuario pueda tener. Si quieres prevenir las amenazas de este ransomware o bien quieres saber como responder a uno de sus ataques sigue leyendo, no perderás tu tiempo.

    X

    Solicítanos más información:





  1. Diferencia entre Incidencia y Problema
  2. LOPD: ¿inclumpe esta ley?
  3. ¿Qué es "Internet de las Cosas?
  4. Porqué convertir tu perfil de facebook en una página.
  5. zapper y phantomware, miles de millones borrados de la contabilidad
Carlos Bosquet HerrerosCarlos Bosquet Herrerosw

Hace un mes que una importante empresa alemana de seguridad informática ha alertado de un nuevo tipo de ransomware ha sido descubierto. Es el Petya. Asi que,Lo primero que tenemos que saber es que Petya se propaga a través del envío de un email malicioso y que es más peligroso y díficil de combatir que otras familias.

 

La mayoría de las veces es el departamento de Recursos Humanos de la empresa el que recibe un correo electrónico simulando ser el CV de un candidato interesado en trabajar en la compañía y acompañado de un enlace de descarga a Dropbox pero cuya URL apunta a un archivo llamado application_portfolio-packed.exe.

 

Cuando la víctima ejecuta ese fichero, el ordenador se bloquea. aparece la pantalla azul y "Petya" se hace con el control del proceso de arranque. Al reiniciar el PC, el usuario ve un aviso que le informa de que el sistema tiene errores que tardarán varias horas en corregirse, pero en realidad lo que sucede es que durante ese tiempo está encriptando el disco duro completo. A continuación, la víctima recibe el mensaje de rescate con la cantidad de dinero que solicitan los ciberdelincuentes para restablecerle el acceso al ordenador y proporcionarle acceso a los archivos, aunque rara es la vez que cumplen con esto.

 

Por ello nuestra 1ª recomendación es: "nunca dependas de la máquina".

 

Seguramente todos estamos de acuerdo en que es fundamental para cualquier empresa tener siempre una copia de sus datos importantes en un lugar seguro; así siempre podrán recuperar sus ficheros. Sin embargo, a pesar de lo importante que es, no os podeís imaginar la cantidad de empresas que no hacen sus copias de seguridad de forma adecuada por lo que, tanto si son víctimas de uno de estos ataques o de otro problema, nunca podrán recuperar sus datos.

 

Y esto también lo saben los ciberdelincuentes. Y precisamente por eso, los ataques de este tipo de virus que están, especialmente, dirigidos a propagarse por las empresas han ido en aumento durante este último año.


Por eso, nuestra 2ª recomendación es que, si no haces copias de seguridad de forma adecuada, contrates algún experto en seguridad informática.

 

Y en el caso de que tu ordenador se infecte con el programa ransomware Petya queremos que sepas que existe un método que te permite recuperar los datos sin tener que pagar dinero a los cibercriminales.

 

Por eso, nuestra 3ª recomendación es que si eres víctima de una extorsión para recuperar tus datos "no efectues ningún pago". Los motivos principalmente son dos: no te van a devolver la información y evitarás que el ransomware se siga propagando.

Entonces, ¿cómo se debe responder a la amenaza de Petya?

Si tu ordenador se infecta tienes que saber que Petya actua reemplazando el código MBR legítimo de la unidad, que normalmente se inicia en el sistema operativo con el código que encripta la tabla maestra de archivos (MFT = que es un archivo especial en volúmenes NTFS que contiene información sobre todos los demás archivos: su nombre, el tamaño y el mapeo de sectores del disco duro). Una vez reemplazado se muestra la nota de rescate.

En realidad el contenido real de los archivos del usuario no están cifrados pero sin la MFT el sistema operativo ya no sabe dónde se encuentran los archivos en el disco. Podría ser posible el uso de herramientas de recuperación de datos para intentar reconstruir los archivos pero no solo llevaría mucho tiempo sino que además no hay existe garantia de que funcione perfectamente.

Afortunadamente para los clientes de emite ya no es necesario recurrir a ese método. Y mucho menos pagar a los autores del Petya ya que disponemos de un algoritmo para obtener la clave necesaria, restaurar la MFT y recuperarse de una infección Petya.

Asi es. Nuestros expertos en informática confirmaron que la técnica funciona. Solo requiere extraer algunos datos de un disco duro afectado: 512 bytes a partir de las 55 del sector (0x37h) con un desplazamiento de 0 y un nonce de 8 bytes de sector 54 (0x36) compensada 33 (0x21).

Aunque te parezca un poco complicado no te preocupes: lo importante es que sepas que existe una herramienta sencilla que puede hacerlo. La dificultad reside en que, debido a que el equipo infectado ya no puede arrancar en Windows, utilizar la herramienta requiere sacar el disco duro afectado y conectárlo a un ordenador diferente, donde la herramienta se puede ejecutar. Y tambien se puede utilizar un disco duro de la estación de acoplamiento basada en USB externa.

Y por último, estos datos extraídos de la herramienta se ingresan en una aplicación web creada por Leostone, un investigador anónimo y que ha compartido una solución que permite desbloquear el devastador Ransomware Bitcoin Petya.

 

Leostone ha propuesto una solución software, como se puede ver en su Github para hackear el ransomware. Esto evita que se procese la petición de rescate, y además, puede crear la clave de descifrado necesario para restaurar el acceso a archivos.

 

Sin embargo, esto no va a ser fácil, ya que no es un proceso sencillo para cualquier usuario, pues entraña ciertas dificultades técnicas y seguro que dispara millones de incógnitas en los afectados durante el mismo y los pasos pueden acabar frustrando a más de una persona. Para evitar eso escribe@emite.net o, si lo prefieres llámanos y pregunta por mi: Carlos Bosquet Herreros

 by carlos bosquet

Mantenimiento Informático

Un equipo IT de confianza para lo que necesites.

Comercio electronico

Elimina horarios y barreras geográficas en la web.

Protección de Datos

Documentación adaptada a la LOPD y la LSSIyCE.

Campaña de Igualdade Dixital

08/05/2020

Colaboramos con el ayuntamiento de Vigo , para que todos los niños tengan un modo de aprender desde sus casas

leer más

Beneficiarios subvención Industria 4.0

29/11/2019

Emite Networks ha resultado beneficiario de la subvención IG 240 Industria 4.0 destinada a la mejora de las empresas gallegas

leer más

PROGRAMA INNOCAMARAS 2018

30/08/2019

PROGRAMA INNOCAMARAS 2018: EMITE NETWORKS, S.L. ha sido beneficiaria del Fondo Europeo de Desarrollo Regional

leer más

Subvención para tiendas online y ferias internacionales

24/01/2019

El IGAPE ha abierto subvención para ayudar al proceso de internacionalización de las empresas de Galicia implementando e-commerce y participación en en ferias internacionales.

leer más
Todos los derechos reservados. 2008
EMITE NETWORKS S.L.
C/As Teixugueiras, n 29 - Oficina 4, CP36212 Vigo ESPAÑA.

Tfno: 902-6-EMITE - (0034) 902-6-36483.
CIF: B27706332. Inscrita en el Registro Mercantil de Pontevedra, Tomo 3425, Libro 3425, Folio 10, Hoja Nº PO-45137, Inscripción 1º
0.4308@141 Bezzle Ventures Group