Familiarízate con este nombre: Petya. Así es como han bautizado a un nuevo tipo de ransomware descubierto recientemente; uno de esos elementos de malware especializados en bloquear el acceso al ordenador hasta que el usuario pague una cierta cantidad de dinero (de ahí su nombre, del inglés ransom, rescate).
Petya es uno de los denominados ransomware criptográficos, que cifran parte del sistema para hacerlo inaccesible al usuario, dejando sólo las partes mínimas necesarias para que pueda pagar el rescate y recuperar así el acceso completo al sistema. La novedad es que Petya, a diferencia de los demás, ataca el disco de arranque, cifrando la tabla maestra de archivos (MFT, Master File Table).
Al parecer, se trata de un tipo de ransomware destinado no tanto al público en general, sino a trabajadores en empresas. Su principal medio de transmisión actualmente son mensajes de correo electrónico con enlaces de Dropbox, que se han recibido en los departamentos de recursos humanos de varias empresas de Alemania.
El enlace de Dropbox supuestamente apunta a una aplicación que el empleado debe instalar para realizar su trabajo. Al lanzar el ejecutable adjunto en el email, el ransomware se inserta en el registro de arranque principal del ordenador y reinicia el sistema, mostrando una falsa ventana donde en teoría se está haciendo una comprobación de disco porque se ha detectado un error. Lo que está haciendo en realidad es cifrar los datos del disco duro.
Al terminar el proceso, Petya se muestra en todo su esplendor (una calavera con dos huesos cruzados), y al pulsar una tecla, las instrucciones de cómo pagar para poder recuperar el acceso al sistema, a través de dos páginas de Tor.
En el vídeo donde se muestra el funcionamiento del ransomware se afirma que actualmente la única forma de recuperar el acceso al ordenador es pagar. Algunos sitios web, no obstante, argumentan que la situación se podría solucionar reparando el sector de arranque principal del disco. Lawrence Abrams, autor del vídeo, comenta que esta maniobra "elimina la pantalla de bloqueo, pero no el cifrado de la tabla maestra de archivos, por lo que tanto Windows como tus datos seguirían siendo inaccesibles. Reparar el sector de arranque del disco es buena idea sólo si no te importa reinstalar Windows y perder tus datos".
Por otro lado, un medio alemán especializado en seguridad informática afirma que lo que usa Petya en una primera fase es un simple cifrado XOR en el sector de arranque, por lo que se si detiene a tiempo, es posible recuperar los datos del sistema afectado arrancándolo desde otro disco y haciendo una copia de seguridad del contenido.
Las empresas, las nuevas víctimas favoritas del ransomware
Los usuarios domésticos de ordenador ya no son las únicas víctimas potenciales de un ataque con ransomware. De hecho, este tipo de malware ha puesto su objetivo ahora en empresas e instituciones, quizás con el pensamiento de poder reclamarles más dinero que a un particular.
Recordemos, por ejemplo, el caso del hospital de Hollywood que sufrió un ataque de este tipo el pasado mes de febrero, y que acabó pagando más de 15.000 euros para poder recuperar el acceso a su sistema. Y no es ni mucho menos el único de este tipo, puesto que casi 160 organizaciones e instituciones de Estados Unidos han sufrido ataques similares en los últimos seis años.
La tendencia, por tanto, es ir a por empresas cuyas potenciales pérdidas ante una situación así sea razón más que suficiente para acceder al pago sin pensárselo mucho. Aunque esto no debería ser excusa para que nosotros, usuarios de a pie, bajemos la guardia. Costumbres como no abrir adjuntos de email sospechosos, mantener el sistema operativo actualizado y descargar software sólo de las fuentes oficiales pueden ayudar a proteger nuestro ordenador de Petya - y de todos los ransomware que estén por venir.
Vía | Ars Technica
En Genbeta | El ransomware amenaza con convertirse en un problema multimillonario
Ver 15 comentarios