Hoy, conceptos de Petrwrap, esta nueva versión del ransomware Petya, aquel que en su momento dio dolores de cabeza, combinado con Wannacry.

---

Hace no mucho hablábamos sobre el Ransomware Petya y el secuestro de discos rígidos, y planteábamos también una solución en Ransomware Petya, solucionado el problema!

Hoy, la gente de Hispasec Sistemas (@unaaldia) ha publicado un interesante informe sobre una nueva versión del ransomware Petya.

Petrwrap: ¿qué se trae el nuevo Petya?

¿No estaba solucionado ya?

Si, pero a raíz del fallo de seguridad explotado por Eternalblue, la vulnerabilidad de SMBv1 en Windows, conocida por ser Wannacry el ransomware que hace pocas semanas hizo estragos en Internet a nivel mundial, los sistemas Windows que no se hayan actualizado con los parches provistos por Microsoft, siguen siendo vulnerables a PetrWrap.

Al parecer, el ataque se extiende rápidamente por la red, aunque Ucrania es el país más afectado de momento, el Banco nacional de Ucrania es una de las entidades más afectadas.

Al igual que otros ransomwares, el funcionamiento de PetWrap es cifrar los archivos útiles al usuario, cuyas extensiones se correspondan con alguna de estas:

.3ds .7z .accdb .ai .asp .aspx .avhd .back .bak .c .cfg .conf .cpp .cs .ctl .dbf .disk .djvu .doc .docx .dwg .eml .fdb .gz .h .hdd .kdbx .mail .mdb .msg .mrg .ora .ost .ova .ovf .pdf .php .pmf .ppt .pptx .pst .pvi .py .pyc .rar .rtf .sln .sql .tar .vbox .vbs .vcb .vdi .vfd .vmc .vmdk .vmsd .vmx .vsdx .vsv .work .xls .xlsx .xvd .zip

Una vez cifrados los archivos de usuario, el ransomware pide 300 dólares de rescate, que han de ser depositados mediante una transferencia de bitcoins.

Podemos ver un ejemplo de este mensaje aquí (publicado por Hispasec):

El texto se traduce como:

Si ves este texto, tus archivos ya no están accesibles, porque han sido cifrados. Tal vez estés ocupado buscando una forma de recuperar tus archivos, pero no malgastes tu tiempo. Nadie puede recuperar tus archivos sin nuestro servicio de descifrado«.

Este ransomware infecta el equipo, y luego de cumplido un timer de una hora, reinicia forzosamente el equipo, y puesto que entre las tareas de cifrado se encuentra el inyectar un código malicioso en el MBR del disco, no se podrá volver a acceder al sistema, ni a los datos.

La recomendación es desconectar directamente el ordenador de la fuente de alimentación hasta instalar las actualizaciones, pero no apagar el ordenador ni reiniciarlo.

Otra mala noticia, que viene de la mano de VirusTotal, es que solo 15 de los 61 servicios antivirus registrados pueden detectar este ransomware.

Como siempre, las recomendaciones son las de parchar los sistemas con las últimas actualizaciones provistas por los fabricantes. Las actualizaciones pueden encontrarse aquí:

• Para Windows 8.1: http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012216
• Para Windows 10: http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012606
• Para Windows 7 y Server 2008: http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012212
• Windows XP, Server2003 y 8: https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/

Consejos… nunca están de más

El consejo de siempre en este tipo de ataques, es disponer de backups actualizados para poder salir del paso y restaurar los servicios de producción con una mínima pérdida de información.

Por otro lado, en el caso de estar infectados con Petya, o cualquier ransomware, se aconseja NO PAGAR el rescate que pide el virus, y restaurar un backup, o, en el caso de no disponerlo, intentar con alguna herramienta de recuperación, como es el caso de la utilidad creada por Leostone, y disponible en https://github.com/leo-stone/hack-petya.

Pagar el rescate, al parecer, es inútil, puesto que según últimas investigaciones, Petya/Petrwrap es un wiper, no un ransomware, por lo que los datos no pueden ser recuperados.

Y por último, también es recomendable utilizar sistemas operativos no vulnerables, como GNU/Linux, ya que correremos menos riesgos de ser afectados.

Si bien Linux puede propagar los ransomwares que hacen uso de la vulnerabilidad de SMBv1, mediante uso de Samba para protocolos SMB/CIFS, no puede ser infectado… salvo que ejecutemos manualmente el binario del ransomware dentro de un emulador como Wine, donde corremos el riesgo de comprometer nuestros archivos, incluso el sistema completo.

No está de mas volver a leer estas reflexiones publicadas por Hispasec a raíz de los ataques de Wannacry, y tomar un poco de conciencia: http://unaaldia.hispasec.com/2017/05/wannacry-y-las-lecciones-que-nunca.html.

Hasta la próxima!