Parece que este 2016 debería declararse el año del ransomware, ya que no paran de surgir nuevas familias y nuevas versiones.
El ransomware está evolucionando rápidamente. Las nuevas versiones de ransomware utilizan un cifrado asimétrico fuerte con largas claves para que los archivos no puedan ser descifrados sin ellas. Los criminales han empezado a utilizar TOR y los pagos en Bitcoins para permanecer en el anonimato. Y ahora, aparece el ransomware Petya, que, de alguna forma, cifra todo el disco duro al mismo tiempo en lugar de cifrar los archivos uno a uno.
Cómo llega Petya a tu PC
Petya es una pieza de ransomware descubierto por G Data Security Labs. Su objetivo son los usuarios empresariales y se distribuye a través de correos electrónicos con spam que parecen contener solicitudes de trabajo. La situación estándar de una infección es así:
Un empleado de recursos humanos de una empresa recibe un correo de una persona que busca un puesto de trabajo en la compañía. El correo contiene un enlace a Dropbox que redirige a un archivo que parece ser un currículum vitae, pero, que en realidad es un archivo .exe.
Petya #ransomware encrypts master file table via @threatpost https://t.co/kCpbUcT1kV pic.twitter.com/9e6YjTkEVV
— Kaspersky (@kaspersky) March 28, 2016
El empleado hace click en el archivo, pero nunca consigue el CV que esperaba descargar. En vez de eso, en su computadora aparece la pantalla azul de la muerte. Esto significa que Petya ya logró entrar al equipo y ha empezado a hacer de las suyas.
Tu disco duro nos pertenece
Los ransomware habituales suelen cifrar archivos de ciertos tipos: fotos, documentos de Office, etc., y dejan el sistema operativo intacto para que la víctima pueda usar la computadora para pagar el rescate. Pero Petya es más agresivo, ya que su objetivo es bloquear por completo el acceso al disco duro.
En pocas palabras, no importa cómo esté organizado tu disco duro, si tienes una partición o más, siempre hay un espacio invisible llamado Registro de Arranque Principal (MBR). Este contiene todos los datos sobre el número y la organización de particiones, y también contiene un código de uso especial para iniciar el arranque del sistema operativo: el gestor de arranque.
El gestor de arranque siempre se ejecuta ANTES que el sistema operativo. Y esto es exactamente lo que infecta Petya: se modifica el gestor de arranque para que descargue el código malicioso de Petya en lugar del sistema operativo instalado en el PC.
Researchers Learning More About #Petya Ransomware: https://t.co/WwOQ1mEsRb pic.twitter.com/O4TaS593ta
— Kaspersky (@kaspersky) March 29, 2016
Para el usuario, parece que se está ejecutando la comprobación del disco, lo que suele ser normal tras la caída del sistema operativo. Pero lo que Petya está haciendo realmente en ese momento, es cifrar la Tabla Maestra de Archivos. Esa es otra parte escondida de la vida personal de tu disco duro. Esta tabla contiene toda la información sobre cómo están distribuidos los archivos y carpetas.
Piensa en tu disco duro como si fuera una gran biblioteca con millones o incluso billones de libros. Y la Tabla Maestra es el índice de la biblioteca. Bueno, esta explicación está muy simplificada, vamos a hacerla más realista: los “libros” rara vez se almacenan como elementos separados en tu disco duro, pero sí como páginas individuales o incluso fragmentos de papel.
Tal vez ahora tengas una idea general de lo fácil que sería encontrar un “libro” si alguien robase el índice de esta “biblioteca”. Esto es exactamente lo que hace el ransomware de Petya.
Una vez terminado su proceso, Petya revela su verdadero rostro, un cráneo hecho con símbolos en ASCII (Código Estándar Estadounidense para el Intercambio de Información). Luego comienza la rutina habitual: el malware solicita al usuario que pague un rescate (0,9 Bitcoins, lo que equivale a unos de 380 dólares) si quiere descifrar su disco duro y recuperar sus archivos.
La única diferencia frente a otros ransomware, es que Petya es completamente offline, lo que no es ninguna sorpresa, ya que “se comió” el sistema operativo. Por lo tanto, el usuario tiene que encontrar otra computadora para poder pagar el rescate y recuperar sus datos.
Let's talk #Ransomware. Would you pay the #hackers ransom?
— Kaspersky (@kaspersky) March 29, 2016
Combatiendo a Petya
Por desgracia, al igual que con otros tipos de ransomware, los investigadores aún no han encontrado la forma de descifrar la información cifrada por Petya. Sin embargo, hay un par de cosas que puedes hacer para protegerte a ti y a tus datos. También tenemos una buena noticia sobre la distribución de Petya.
La buena noticia es que Dropbox ya eliminó los archivos maliciosos infectados por Petya de su almacenamiento en la nube. Así que, ahora los criminales tienen que encontrar otra forma de distribución. La mala noticia es que probablemente no tarden mucho tiempo en hacerlo.
10 tips to protect your files from ransomware https://t.co/o0IpUU9CHb #iteducation pic.twitter.com/I47sPIiWFF
— Kaspersky (@kaspersky) November 30, 2015
Volviendo al tema de la protección, ¿qué puedes hacer?
- Cuando el usuario ve la pantalla azul de la muerte, no todos sus archivos están corruptos, ya que Petya no ha empezado a cifrar la Tabla Maestra de Archivos. Entonces, si ves que la computadora muestra esa pantalla, se reinicia y comienza la comprobación del disco, apágalo inmediatamente. En este momento, aún puedes extraer tu disco duro, conectarlo a otra computadora (¡pero sin usarlo como dispositivo de arranque!) y recuperar tus archivos.
- Petya solo cifra la Tabla Maestra de Archivos dejando intactos los propios archivos. Aun así, los archivos se pueden recuperar por especialistas en recuperación de discos duros. Este proceso es complejo y consume mucho tiempo y dinero, pero se puede hacer. Sin embargo, no intentes hacerlo solo en casa, un error puede hacer que todos tus archivos desaparezcan para siempre.
- Lo mejor es protegerse proactivamente utilizando una solución de seguridad. Kaspersky Internet Security no dejará que entren los correos electrónicos con spam, así que probablemente ni siquiera verás el contenido del correo con el enlace a Petya. Incluso si Petya logra colarse, Kaspersky Internet Security lo detectaría como Trojan-Ransom.Win32.Petr y bloqueará todas sus actividades. Y lo mismo harán nuestras otras soluciones antivirus.