ACTUALIZACIÓN: Nuevas fuentes apuntan que el virus Petya se ha modificado, de tal manera que ha dejado de ser un ransomware para convertirse en un virus Wiper, un gusano que directamente destruye la información que contiene el PC
El 27 de junio de 2017, Ucrania sufrió un ciberataque que rápidamente se extendió por gran parte de Europa y Estados Unidos. En menos de 24 horas, alrededor de 300.000 ordenadores de más de 25 países fueron infectados por el virus que ya se conoce como “Petya”.
¿Qué es Petya y cómo funciona?
Tal y como hemos visto con otros ataques ransomware, Petya bloquea el acceso de un dispositivo con Windows y cifra los archivos contenidos en él.
Al bloquearse el ordenador, se muestra un mensaje de error conocido en español como Pantallazo Azul o Blue Screen of Death (DSOD) en inglés. Entonces, el PC se reinicia, pero el virus evita que el sistema operativo se cargue, alterando el arranque del disco duro. Al usuario se le mantiene en la pantalla MS-DOS que es desde donde aparece el mensaje del ransomware. La única manera que tiene el usuario de recuperar sus archivos es a través de la clave que tienen los cibercriminales y por la cual piden el pago de un rescate a través de Bitcoins.
Si el usuario no paga el rescate tendrá que hacer frente a la pérdida de los datos tal y como vimos en el ciberataque de WannaCry. Otra coincidencia con este último ataque es que a las víctimas de Petya se les pedía pagar una suma de 300 dólares en Bitcoins
¿Cómo se extendió Petya?
Algunas teorías apuntan que el popular software de contabilidad, MeDoc, fue hackeado antes de que lanzara una actualización automática, por lo que los usuarios descargaron el virus en los ordenadores que tenían instalado MeDoc y que además, también tenían la vulnerabilidad EternalBlue.
Aún no se ha verificado que MeDoc sea el origen del ransomware Petya, aunque la compañía ya ha desmentido que lo sea. Sin embargo, las evidencias que se han encontrado por el momento, apuntan a que sí que ha sido punto por el cual el virus se ha extendido.
Symantec analysts have confirmed #Petya #ransomware, like #WannaCry, is using #EternalBlue exploit to spread
— Security Response (@threatintel) 27 de junio de 2017
Al poco de ser ejecutado, el gusano se propagó por todo tipo de instituciones: gobiernos, bancos e incluso infraestructuras como la central nuclear de Chernóbil. No tardó mucho en cruzar Europa, azotando países como Alemania, España, Francia, Rusia y Gran Bretaña. Algunas de las compañías afectadas fueron Rosneft, Saint-Gobain, WPP, Deutsche Post y Mondelez International.
Las últimas empresas que fueron víctimas del ransomware Petya fueron Merck y DLA Piper, una compañía farmacéutica americana y un bufete internacional de abogados radicado en Estados Unidos. Merck también es conocida como una de las mayores compañías farmacéuticas del mundo.
En Open Data Security, hemos seguido de cerca el avance de este ransomware, monitorizando cuántos países y compañías han sido afectados, así como cuántos pagos se han hecho a los cibercriminales que están detrás de Petya.
Desde que el virus se desencadenó, se han registrado 43 pagos en la cuenta que los atacantes indicaron para el pago del rescate por Bitcoins. La suma total acumulada es de 3.87408155 BTC, lo cual equivale aproximadamente a 9.734 dólares, 7.591 libras o 8.565 euros.
?? 27 payments have been made since our last post. Bringing a total of 40 transactions, and 3.64053686 BTC.#petya #ransomware #cyberattack pic.twitter.com/0czGhMyOxm
— Open Data Security (@ODSops) 28 de junio de 2017
Por el momento, la dirección de Bitcoin sigue habilitada y se siguen realizando pagos al rescate.
La diferencia entre Petya y WannaCry
Petya tiene características similares a WannaCry, pero el nuevo ransomware se ha extendido más rápidamente por la red que su predecesor, lo cual explica cómo es que el virus se ha extendido tan rápido. A diferencia de WannaCry, el cual bloqueaba el acceso a algunos archivos, Petya cifra el disco duro entero. De esta manera, el ordenador se vuelve inservible hasta que se desinfecte el sistema por completo.
Además, los expertos en seguridad señalan la calidad del código de Petya, ya que este mejoraba en cada iteración. Tampoco tenía ningún apagado de emergencia (conocido como kill-switch) que hiciera que el ransomware se apagara. Petya puede seguir afectando a los PC que no estén protegidos del exploit EternalBlue, así como llevar a cabo algunas acciones, como por ejemplo, enlazar documentos infectados de Microsoft Word e incrustar el gusano en las actualizaciones del sistema tal y como le pasó a MeDoc.
¿Qué hacer si ejecutas un archivo con Petya?
Actualmente, no hay ningún método para desencriptar la información de un PC infectado, pero hay una manera de parar el cifrado antes de que se infecte el equipo. Si aparece en la pantalla un mensaje como el que se ve en la siguiente imagen, apague su ordenador de inmediato. Solo así parará el cifrado de archivos.
A continuación, arranque el sistema con un disco de recuperación como LiveCD. Ponga en marcha el escáner “Petya.A/NotPetya” y elimínelo. Recuerde hacer una copia de seguridad de sus archivos y guardarla en un dispositivo seguro para evitar la pérdida de datos.
Mientras tanto, los expertos en seguridad trabajan para desarrollar herramientas que bloqueen el avance del virus.
Recomendaciones sobre Petya de Open Data Security
Con el fin de que no sea la siguiente víctima de Petya, tenemos una serie de recomendaciones pensadas para los usuarios de Windows:
- Realice una copia de seguridad de sus archivos y guárdelas en un sitio seguro, preferiblemente en local.
- Asegúrese de que tiene instalado el último Parche de Seguridad de Microsoft en su PC.
- Confirme que tiene la última versión de un antivirus fiable.
- No haga click en archivos adjuntos de dudosa procedencia.
- Si recibe un e-mail en el que le piden que haga click sobre un enlace sospechoso, bórrelo de inmediato.
Si su PC está infectado por Petya: NO REALICE NINGÚN PAGO POR BITCOIN AL E-MAIL FACILITADO POR LOS CIBERCRIMINALES.
Según algunas fuentes, la dirección de correo de los hackers se ha deshabilitado, por lo que ya no podrán recibir ningún e-mail y tampoco el recibo de los pagos de rescate. Tal vez por eso, las mismas fuentes apuntan a que las víctimas que ya han pagado el rescate, aún no han obtenido el acceso a sus equipos.
Si necesita ayuda ahora mismo, o busca una herramienta anti-ransomware, así como la manera de que la actividad de su empresa no se vea comprometida, contacte con Open Data Security ahora, y estaremos encantados de ayudarle a proteger su empresa.
A través de nuestra cuenta de Twitter seguiremos haciéndonos eco de la información que vaya saliendo sobre el ransomware Petya, ¡no dude en seguirnos![:]