Petya no encripta los archivos por separado como otros ‘ransomwares’, sino todo el disco duro, con lo cual impide el arranque del ordenador hasta que se desactive.
Este martes, un potente ‘ransomware’ llamado Petya ha atacado a varios países de la Unión Europea —entre ellos, España— además de Ucrania y Rusia y ha impedido el funcionamiento correcto de lugares como bancos o aeropuertos.
A continuación, explicamos todo lo que se sabe de este malicioso programa informático y su forma de actuar.
¿Qué es un ‘ransomware’?
Se trata de un virus ‘extorsionador’ que encripta computadoras y pide dinero para desbloquearlas. El ataque de este martes solicita 300 dólares en bitcoines para recuperar los archivos.
¿Por qué Petya es diferente de los demás?
Con diversas modificaciones, el virus Petya se conoce desde 2016. A diferencia de otros ‘ransomwares’, Petya no encripta los archivos por separado, sino todo el disco duro, con lo cual impide el arranque del ordenador hasta que se desactive.
¿Cómo se propaga?
El contagio se suele producir a través de correos electrónicos aparentemente lícitos, pero que incluyen un enlace malicioso. Por ejemplo, la primera versión de Petya ‘se disfrazaba’ de currículos y atacaba a empresas de recursos humanos.
En concreto, se escondía en el correo de un presunto candidato, que incluía un enlace para descargar su CV desde el servicio de alojamiento Dropbox pero, en realidad, era un archivo ejecutable de extracción automática.
¿Cómo funciona?
Al abrir el enlace, el troyano se ejecuta y aparece una alerta de Windows. Si la víctima prosigue, el virus reescribe el sector de arranque del ordenador y la pantalla queda en azul con un mensaje de error que indica que hay que reiniciar el equipo.
Algunos expertos apuntaban que en esa etapa el disco duro aún no está encriptado y se pueden recuperar los datos apagando el ordenador y conectando su disco duro a otro equipo.
Cuando el equipo se reinicia, se ejecuta un programa que imita el comando para la comprobación del disco CHKDSK aunque, en realidad, lo encripta. Después, aparece una ventana de alerta que informa al usuario de que el equipo ha sido secuestrado y solicita el rescate.
Según destaca el portal Meduza, desde comienzos del año pasado Petya ha mutado varias veces y, a juzgar por la magnitud de esta última ofensiva, su nueva variante ha sido mejorada y posee un sistema de distribución más complejo.
¿Cómo protegerse?
El Centro Criptológico Nacional (CCN-CERT) de España, adscrito al Centro Nacional de Inteligencia (CNI), desaconseja que los usuarios afectados paguen el rescate de su equipo, ya que ese paso «no garantiza que los atacantes» envíen la «contraseña de descifrado», «solo premia su campaña y les motiva» para «seguir distribuyendo masivamente este tipo de código dañino». Además, ofrece una serie de recomendaciones:
- Actualizar el sistema operativo y todas las soluciones de seguridad, así como tener el cortafuegos personal habilitado.
- Los accesos administrativos desde fuera de la organización solo deben llevarse a cabo mediante protocolos seguros.
- Mantener una conducta de navegación segura, con herramientas y extensiones de navegador web completamente actualizadas.
- Activar la visualización de las extensiones de los ficheros para evitar ejecución de código dañino camuflado, como ficheros legítimos no ejecutables.
- Deshabilitar las macros en los documentos de Microsoft Office y otras aplicaciones similares.
RT
Imagen destacada: The Hacker News