0
Posted julio 4, 2017 by Rodrigo Pacheco in Análisis
 
 

RansomWare Petya: ¿Que es, quién está detrás y como detenerlo?




El “RansomWare Petya” actualmente es uno de los temas más hablados en la web debido a la peligrosidad que presenta, en ordenadores personales infectados. Aún cuando Microsoft dio noticias alentadoras a sus usuarios de Windows 10 (con las más recientes versiones de su compilación) pero, siempre vale la pena tomar en cuenta algunas condiciones de seguridad para evitar que este malware (o amenaza con código malicioso) llegue a afectarnos durante toda la vida.

Principalmente esa es la razón por la cual hemos decidido redactar una nueva entrega en donde hablaremos del “RansomWare Petya” y la forma, en que se habría propagado. También mencionaremos, quienes se encuentran detrás de esta amenaza de código malicioso, la forma en que actúa y muchos otros términos más que seguramente te van a interesar conocer para evitar, que en un momento determinado se infiltre en tu ordenador personal con Windows.

RansomWare Petya: Cómo empezó toda esta historia

No existe una fecha exacta del momento en que habría aparecido el “RansomWare Petya” aunque si se dice que es una amenaza reciente. Todo se habría iniciado con la actualización de un Software conocido que tiene el nombre de “MEDoc”, que es utilizado por una gran cantidad de empresas para sus respectivos estados financieros. Por alguna extraña razón, Ucrania fue el punto de inicio por parte de los hackers que desarrollaron a la amenaza.




Estos hackers lograron ingresar hacia los servidores del software antes mencionado, en donde colocaron su amenaza como si fuese una actualización importante para la herramienta. Lógicamente los usuarios recibieron la respectiva notificación para actualizarla sin saber, que en realidad estaban instalando “por voluntad propia” al “RansomWare Petya”. Esta fue la mejor manera para contagiar los equipos pues se dice que un método anterior no les habría dado tan buenos resultados. Sobre esto último, la firma de antivirus “Kaspersky Labs” informó que encontró un pequeño rastro de esta amenaza en servidores dedicados para descargas de aplicaciones piratas.

RansomWare Petya: Cómo se extendió tan rápidamente

Tal y como lo hemos mencionado en los párrafos anteriores y en el artículo que precede al actual, todo se inició en Ucrania. Desde allí el gusano se habría expandido hacia las otras filiales de las empresas que tenían ese software por medio de sus respectivas redes corporativas.

En algunos casos se utilizaron redes del tipo VPN para pasar desapercibidos. Algo completamente anecdótico también se dice sobre esta amenaza (RansomWare Petya) pues la misma, no se habría infiltrado en ordenadores personales por medio de un archivo adjunto en correos electrónicos, algo que generalmente se suele dar en la mayoría de casos similares.

RansomWare Petya: Cómo actúa

Este viene a ser otro de los aspectos más anecdóticos e interesantes que ha llamado la atención de la comunidad informática. Al parecer el “RansomWare Petya” tenía la capacidad de clonarse para poder actuar en diferentes entornos dentro de un ordenador personal antes de empezar su infección. La forma en que actuaba de inicio a fin prácticamente contempla lo siguiente:

  1. En un primer momento el troyano utiliza las redes empresariales para expanderse en los ordenadores personales con Windows.
  2. Posteriormente la amenaza cifra al “MBR” (Master Boot Recorder) para evitar que el sistema operativo se inicie y todo, quede completamente bloqueado.
  3. Una segunda variante de este “RansomWare Petya” se encargaría de cifrar los archivos guardados en el ordenador personal.
  4. El “RansomWare Petya” también tendría la capacidad para robar el nombre de usuario y contraseñas que se utilizan para iniciar sesión en los ordenadores personales.

Como lo hemos mencionado en esta parte del análisis, el sistema es uno de los más interesantes e inteligentes desarrollados por los hackers. En un primer momento el “RansomWare Petya” se encargaría de cifrar al MBR. Si esta operación falla por alguna razón la amenaza sigue actuando con el resto de pasos, es decir, cifrando los archivos del ordenador personal y cambiando tanto en donde usuario como la contraseña de acceso al sistema operativo.

RansomWare Petya: ¿Estoy en riesgo?

Seguramente esta es la pregunta que todo el mundo se está haciendo al momento. La presencia del “RansomWare Petya” nos ha hecho dudar de navegar por diferentes entornos en la web al pensar, que la amenaza va a secuestrar el ordenador personal en cualquier momento determinado.

Si eres una de las personas que se conectan a las redes empresariales “si podrías estar en riesgo”. Si en cambio tienes un ordenador personal que usas únicamente para tus trabajos y no estás  conectado a ningún tipo de red, entonces no debería existir riesgo alguno para contagiarse de este “RansomWare Petya”. Por supuesto que si usas una red VPN para conectarte a cualquiera de los ordenadores personales que forman parte de una empresa, el riesgo se mantendría latente.

RansomWare Petya: ¿Infectará a mi ordenador Mac o dispositivos móviles iOS y Android?

Quizá esta es una buena noticia para quienes tienen ordenadores personales Mac. El “RansomWare Petya” no tiene la capacidad afectar a dichos equipos ni tampoco aquellos que tengan un sistema operativo basado en Linux. Tampoco tiene la capacidad para actuar sobre dispositivos móviles pues la afección, únicamente se focaliza en aquellos que funcionan con Windows.

RansomWare Petya: ¿Puede afectar mi PC recientemente actualizado?

Lastimosamente la respuesta es “sí”. Si tu ordenador personal, parte de una de las redes empresariales y la amenaza ha logrado ingresar a cualquier otro equipo que forme parte del conjunto, el “RansomWare Petya” llegará a robar las credenciales de acceso de todos y cada uno de los equipos vinculados a partir del que ya se encuentre infectado.

RansomWare Petya: ¿Me podrá proteger un sistema antivirus?

Ventajosamente la respuesta es “sí”. Ahora mismo la mayoría de sistemas antivirus que existen en la actualidad están trabajando con sus respectivas actualizaciones para evitar que esta amenaza (RansomWare Petya) pueda pasar sus filtros de seguridad.

¿RansomWare Petya es idéntico al WannaCry?

Podría decirse que “sí” aunque el “RansomWare Petya” ha sido mejor desarrollado que wannacry. Ambas amenazas utilizan al “exploit EternalBlue” que al parecer enfoca su atención a los puertos 139 y 445 cuando se encuentran abiertos a Internet. Todo esto únicamente en ordenadores personales con Windows conectados a redes empresariales.

RansomWare Petya: ¿Quién está detrás de la amenaza?

Por el momento no se conoce quien se encuentra detrás de este “RansomWare Petya” pero existen ligeras pistas que quizá sean reales. Se dice que un grupo de hackers rusos autodenominados como “los patriotas” son quienes estarían detrás de esta situación.

Según el análisis de expertos informáticos, los hackers con su “RansomWare Petya” no tienen la intención de hacerse millonarios secuestrando ordenadores personales y pidiendo una recompensa sino más bien, de afectar o perturbar la economía en Ucrania. Los sistemas antivirus más sofisticados que existen en la actualidad no han sido capaces de detectar el lugar en donde se encuentran estos hackers, pues ellos usan medidas sofisticadas que les hacen ser invisibles a la vista de todos.

RansomWare Petya: ¿Dónde pagar el rescate?

Seguramente estarás pensando en esa pregunta. Especialistas informáticos mencionan que el pago para liberar el ordenador personal que ha sido secuestrado por “RansomWare Petya” no puede realizarse en ningún momento ya que la dirección de correo electrónico que pertenece a un dominio específico ha sido cerrada (wowsmith123456@posteo.net).

El servidor en donde teóricamente se guardaban las claves para descifrar los ordenadores personales infectados por “RansomWare Petya” ya no existe aunque podrían aparecer nuevas cepas en otros completamente diferentes.

RansomWare Petya: ¿Cómo lo desactivo en el PC infectado?

Si el ordenador personal con Windows ya se encuentra secuestrado con el “RansomWare Petya” lastimosamente no hay como detener su actividad. Lo único que se podría realizar, es tratar de formatear al disco duro del PC infectado para instalar nuevamente (de cero) al sistema operativo pero lógicamente, esto eliminará toda la información que pudimos haber tenido guardada en el disco duro del sistema operativo.

Ahora bien, hay interesantes formas de tratar de reconocer si nuestro equipo está siendo foco de atención de esta amenaza. Especialistas informáticos mencionan, que el ordenador personal puede empezar a cerrar procesos intempestivamente o también, a intentar hacer que se cierre de la sesión (o reinicie el PC) arbitrariamente. En este tipo de casos no deberías permitirlo, pues el “RansomWare Petya” necesita hacer que se reinicie el ordenador personal para escribir información cifrada en el MBR.

También se podría llegar a vacunar la máquina con la que trabajas actualmente. Esto se hace muy fácil si creas un pequeño archivo de nombre “perfc” (con propiedades de “Solo Lectura”) y posteriormente lo colocas en la carpeta de Windows. Cuando la amenaza ingresa al PC y mira este archivo no actuara sobre él y lo dejara tranquilo. En ese momento empezará a buscar otros equipos que se encuentren conectados a la red empresarial para infectarlos.

Lawrence Abrams (especialista informático) creó un pequeño archivo “.bat” que te puede ayudar a crear este “perfc”. Puedes utilizarlo desde el enlace anterior aunque bajo tu absoluta responsabilidad. Una vez que lo tengas sólo debes extraer el contenido y darle doble clic para que se genere el archivo en cuestión que posteriormente pasará a copiarse al directorio de Windows. De todas formas, parece la pena que ingreses con el explorador de archivos hacia ese directorio para ver si la copia se realizó.

Aún con efectividad que este informático dice tener para su truco, pero existen reportes en donde el mismo no funciona en determinado número de ordenadores personales con Windows 7.

Todo este artículo lo hemos desarrollado para que estés atento a lo que podría suceder en el ordenador personal si la amenaza (RansomWare Petya) llega a tu red empresarial. Por tal motivo, es necesario tratar de tener una copia de seguridad de todos los archivos más importantes en discos duros externos para formatear el ordenador personal en caso, que haya sido secuestrado por el malware.

Trucos Windows que te pueden interesar

Desde Windows 10 se escribe una nueva generación en ordenadores personales… te enseñamos sus trucos y las noticias más importantes del sistema operativo.