Familiarízate con este nombre: Petya. Así es como han bautizado a un nuevo tipo de ransomware descubierto recientemente; uno de esos elementos de malware especializados en bloquear el acceso al ordenador hasta que el usuario pague una cierta cantidad de dinero (de ahí su nombre, del inglés ransom, rescate).
Petya es uno de los denominados ransomware criptográficos, que cifran parte del sistema para hacerlo inaccesible al usuario, dejando sólo las partes mínimas necesarias para que pueda pagar el rescate y recuperar así el acceso completo al sistema. La novedad es que Petya, a diferencia de los demás, ataca el disco de arranque, cifrando la tabla maestra de archivos (MFT, Master File Table).
Al parecer, se trata de un tipo de ransomware destinado no tanto al público en general, sino a trabajadores en empresas. Su principal medio de transmisión actualmente son mensajes de correo electrónico con enlaces de Dropbox, que se han recibido en los departamentos de recursos humanos de varias empresas de Alemania.
El enlace de Dropbox supuestamente apunta a una aplicación que el empleado debe instalar para realizar su trabajo. Al lanzar el ejecutable adjunto en el email, el ransomware se inserta en el registro de arranque principal del ordenador y reinicia el sistema, mostrando una falsa ventana donde en teoría se está haciendo una comprobación de disco porque se ha detectado un error. Lo que está haciendo en realidad es cifrar los datos del disco duro.
Al terminar el proceso, Petya se muestra en todo su esplendor (una calavera con dos huesos cruzados), y al pulsar una tecla, las instrucciones de cómo pagar para poder recuperar el acceso al sistema, a través de dos páginas de Tor.
En el vídeo donde se muestra el funcionamiento del ransomware se afirma que actualmente la única forma de recuperar el acceso al ordenador es pagar. Algunos sitios web, no obstante, argumentan que la situación se podría solucionar reparando el sector de arranque principal del disco. Lawrence Abrams, autor del vídeo, comenta que esta maniobra "elimina la pantalla de bloqueo, pero no el cifrado de la tabla maestra de archivos, por lo que tanto Windows como tus datos seguirían siendo inaccesibles. Reparar el sector de arranque del disco es buena idea sólo si no te importa reinstalar Windows y perder tus datos".
Por otro lado, un medio alemán especializado en seguridad informática afirma que lo que usa Petya en una primera fase es un simple cifrado XOR en el sector de arranque, por lo que se si detiene a tiempo, es posible recuperar los datos del sistema afectado arrancándolo desde otro disco y haciendo una copia de seguridad del contenido.
Las empresas, las nuevas víctimas favoritas del ransomware
Los usuarios domésticos de ordenador ya no son las únicas víctimas potenciales de un ataque con ransomware. De hecho, este tipo de malware ha puesto su objetivo ahora en empresas e instituciones, quizás con el pensamiento de poder reclamarles más dinero que a un particular.
Recordemos, por ejemplo, el caso del hospital de Hollywood que sufrió un ataque de este tipo el pasado mes de febrero, y que acabó pagando más de 15.000 euros para poder recuperar el acceso a su sistema. Y no es ni mucho menos el único de este tipo, puesto que casi 160 organizaciones e instituciones de Estados Unidos han sufrido ataques similares en los últimos seis años.
La tendencia, por tanto, es ir a por empresas cuyas potenciales pérdidas ante una situación así sea razón más que suficiente para acceder al pago sin pensárselo mucho. Aunque esto no debería ser excusa para que nosotros, usuarios de a pie, bajemos la guardia. Costumbres como no abrir adjuntos de email sospechosos, mantener el sistema operativo actualizado y descargar software sólo de las fuentes oficiales pueden ayudar a proteger nuestro ordenador de Petya - y de todos los ransomware que estén por venir.
Vía | Ars Technica
En Genbeta | El ransomware amenaza con convertirse en un problema multimillonario
Ver 15 comentarios
15 comentarios
lamarse35
pero una cosa no queda nada clara.... ¿pagando realmente se recupera el sistema?
Porque, más de una empresa pagaría si realmente eso le devuelve sus pertenencias, pero... ¿y si pagas y después se te queda la cara de tonto cuando ves que te has quedado sin el dinero y sin tus datos?
Es decir, ¿qué garantías tienes que al pagar, ciertamente, esos hijos de la gran "calavera" te van a devolver el acceso a tus datos?
La cosa es bastante dudosa, porque esta gente ataca a diestro y siniestro cualquier cosa para poder coaccionar al maximo de personas o empresas y de ahí conseguir el rescate, pero.. ¿ciertamente se van a preocupar luego de conseguir que todo vuelva a su sitio? Porque, de así ser, se podría perfectamente seguir su rastro y finalmente ser detenidos y encarcelados. Vamos, pan para hoy y hambre para mañana: menudo negocio.
Yo creo que lo mejor que se puede hacer aquí es prevenir, y estar ciertamente preparado para, que si sufres de un ataque de este tipo, disponer de una fresca y buena copia de seguridad, de donde recuperar todo lo perdido, y dejarse de pagar ningún rescate, más allá de la factura del informático que se lo vaya a arreglar.
mendezmendez
Hola, sabes donde puedo descargar una copia de este rasonmware ¿..?
Para pruebas etc...
juanmcm
Quizás en estos casos pueda ser fundamental tener los datos en soportes externos, así si te pillas los dedos con esto, puedes salir más o menos airoso.
Una pregunta más bien tonta, da lo mismo si tienes un HDD o un SSD? Hay alguna diferencia notable a este respecto?
jairoav251
¿En Windows únicamente cierto?
jlmartin
Cualquier empresa debería considerar muy seriamente el uso de un plan robusto de copias de seguridad, y estas cosas no pasarían tan a menudo, el problema como con las empresas que no se dedican a la informática es que todo lo relacionado con la informática es un gasto, trabajando para una gran empresa un directivo definió al departamento de informática como un "mal necesario".
Muchas empresas, grandes y pequeñas, han desaparecido después de una catástrofe informática, que hubiera sido subsanable con un sistema de backup.
uldcra
Perdonad si la pregunta es absurda,una vez infectado no se podría recuperar.
Tendrías que formatear básicamente o reinstalarlo todo?
Estaría bien un tutorial de que hacer en estos casos.
Gracias.