[Actualización del 28 de Junio de 2017]
Parece que este 2016 debería declararse el año del ransomware, ya que no paran de surgir nuevas familias y nuevas versiones.
El ransomware está evolucionando rápidamente. Las nuevas versiones de ransomware utilizan un cifrado asimétrico fuerte con largas claves para que los archivos no puedan ser descifrados sin ellas. Los criminales han empezado a utilizar TOR y los pagos en Bitcoins para permanecer en el anonimato. Y ahora, aparece el ransomware Petya, que, de alguna forma, cifra todo el disco duro al mismo tiempo en lugar de cifrar los archivos uno a uno.
Cómo llega Petya a tu PC
Petya es una pieza de ransomware descubierto por G Data Security Labs. Su objetivo son los usuarios empresariales y se distribuye a través de correos electrónicos con spam que parecen contener solicitudes de trabajo. La situación estándar de una infección es así:
Un empleado de recursos humanos de una empresa recibe un correo de una persona que busca un puesto de trabajo en la compañía. El correo contiene un enlace a Dropbox que redirige a un archivo que parece ser un currículum vitae, pero, que en realidad es un archivo .exe.
Petya #ransomware encrypts master file table via @threatpost https://t.co/kCpbUcT1kV pic.twitter.com/9e6YjTkEVV
— Kaspersky (@kaspersky) March 28, 2016
El empleado hace clic en el archivo, pero nunca consigue el CV que esperaba descargar. En vez de eso, en su ordenador aparece la pantalla azul de la muerte. Esto significa que Petya ha conseguido entrar al equipo y ha empezado a hacer de las suyas.
Tu disco duro nos pertenece
Los ransomware habituales suelen cifrar archivos de ciertos tipos: fotos, documentos de Office, etc., y dejan el sistema operativo intacto para que la víctima pueda usar el ordenador para pagar el rescate. Pero Petya es más agresivo, ya que su objetivo es bloquear por completo el acceso al disco duro.
En pocas palabras, no importa cómo esté organizado tu disco duro, si tienes una partición o más, siempre hay un espacio invisible llamado Registro de Arranque Principal (MBR). Este contiene todos los datos sobre el número y la organización de particiones, y también contiene un código de uso especial para iniciar el arranque del sistema operativo: el gestor de arranque.
El gestor de arranque siempre se ejecuta ANTES que el sistema operativo. Y esto es exactamente lo que infecta Petya: se modifica el gestor de arranque para que descargue el código malicioso de Petya en lugar del sistema operativo instalado en el PC.
Así funciona el #ransomware. ¡Aprende a evitarlo! #ebook gratuito https://t.co/rPObgnRHWB #ciberseguridad #infosec pic.twitter.com/485Y5ENtqc
— Kaspersky España (@KasperskyES) February 20, 2016
Para el usuario, parece que se está ejecutando la comprobación del disco, lo que suele ser normal tras la caída del sistema operativo. Pero lo que Petya está haciendo realmente en ese momento, es cifrar la Tabla Maestra de Archivos. Esa es otra parte escondida de la vida personal de tu disco duro. Esta tabla contiene toda la información sobre cómo están distribuidos los archivos y carpetas.
Piensa en tu disco duro como si fuese una gran biblioteca con millones o incluso billones de libros. Y la Tabla Maestra es el índice de la biblioteca. Bueno, esta explicación está muy simplificada, vamos a hacerla más realista: los “libros” rara vez se almacenan como elementos separados en tu disco duro, pero sí como páginas individuales o incluso fragmentos de papel.
Tal vez ahora tengas una idea general de lo fácil que sería encontrar un “libro” si alguien robase el índice de esta “biblioteca”. Esto es exactamente lo que hace el ransomware de Petya.
Una vez terminado su proceso, Petya revela su verdadero rostro, un cráneo hecho con símbolos en ASCII (Código Estándar Estadounidense para el Intercambio de Información). Luego comienza la rutina habitual: el malware solicita al usuario que pague un rescate (0,9 Bitcoins, lo que equivale a unos de 330 euros) si quiere descifrar su disco duro y recuperar sus archivos.
La única diferencia frente a otros ransomware, es que Petya es completamente offline, lo que no es ninguna sorpresa, ya que “se ha comido” el sistema operativo. Por tanto, el usuario tiene que encontrar otro ordenador para poder pagar el rescate y recuperar sus datos.
Hablemos sobre #ransomware: ¿pagarías el rescate por recuperar tus datos?
— Kaspersky España (@KasperskyES) April 6, 2016
Combatiendo a Petya
Por desgracia, al igual que con otros tipos de ransomware, los investigadores aún no han encontrado la forma de descifrar la información cifrada por Petya. Sin embargo, hay un par de cosas que puedes hacer para protegerte a ti y a tus datos. También tenemos una buena noticia sobre la distribución de Petya.
La buena noticia es que Dropbox ha eliminado los archivos maliciosos infectados por Petya de su almacenamiento en la nube. Así que, ahora los criminales tienen que encontrar otra forma para distribuirlo. La mala noticia es que probablemente no tarden mucho tiempo en hacerlo.
10 consejos para proteger tus archivos contra el #ransomware https://t.co/elFhZXo4H4 pic.twitter.com/tduDx6Bdll
— Kaspersky España (@KasperskyES) December 22, 2015
Volviendo al tema de la protección, ¿qué puedes hacer?
1. Cuando el usuario ve la pantalla azul de la muerte, no todos sus archivos están corruptos, ya que Petya no ha comenzado a cifrar la Tabla Maestra de Archivos. Entonces, si ves que el ordenador muestra esa pantalla, se reinicia y comienza la comprobación del disco, apágalo inmediatamente. En este momento, aún puedes extraer tu disco duro, conectarlo a otro ordenador (¡pero sin usarlo como dispositivo de arranque!) y recuperar tus archivos.
2. Petya solo cifra la Tabla Maestra de Archivos dejando intactos los propios archivos. Aun así, los archivos se pueden recuperar por especialistas en recuperación de discos duros. Este proceso es complejo y consume mucho tiempo y dinero, pero se puede hacer. Sin embargo, no intentes hacerlo solo en casa, un error puede hacer que todos tus archivos desaparezcan para siempre.
3. Lo mejor es protegerse proactivamente utilizando una solución de seguridad. Kaspersky Internet Security no dejará que entren los correos electrónicos con spam, así que probablemente ni siquiera verás el contenido del correo con el enlace a Petya. Incluso si Petya logra colarse, Kaspersky Internet Security lo detectará como Trojan-Ransom.Win32.Petr y bloqueará todas sus actividades. Y lo mismo harán nuestras otras soluciones antivirus.
Actualización del 28 de Junio de 2017
Si estás buscando información acerca del nuevo brote de ransomware Petya/ NotPetya / ExPetr, tenemos un artículo dedicado a ello con consejos para proteger tus archivos.