Ransomware Petya y el secuestro de discos rígidos

Ransomware Petya, el nombre que ha adoptado en nuevo ransomware, es el primero en su estilo en cifrar el dispositivos completo, ya unos pocos archivos no son lo suficientemente graves parece :S

Todos los que estamos en el ambiente informático y de la seguridad informática, recordaremos los destrozos que hicieron ransomwares como Locky, TeslaCrypt o CryptoWall. Estos ransomwares cifraban algunos archivos críticos del sistema operativo de la víctima, para luego pedir «rescate» por los mismos, debiendo pagar recompensa para obtener una clave de descifrado de dichos archivos.

Ransomware Petya, funcionamiento

La víctima del Ransomware Petya recibe por email un link de acceso a Dropbox con el que lo instan a descargar una aplicación que simula ser un currículum vitae falso. La víctima lo descarga, lo ejecuta, y Petya hace lo suyo: se cuelga el sistema, se reinicia y carga una versión falsa del chkdsk de Windows, como quien fuera a verificar el estado del sistema de archivos.

Previo al reinicio, Petya ha modificado el MBR del disco para controlar, al reiniciar, el proceso de arranque del equipo.

Durante este tiempo, como sabremos, no se está verificando el sistema de archivos, sino que se está cifrando el disco, dejándolo totalmente inaccesible!

Al finalizar el «chequeo» la víctima recibirá un mensaje poco prometedor en pantalla:

Al presionar una tecla, verá un nuevo mensaje en pantalla, con las instrucciones a seguir para poder recuperar la información del disco:

Y aquí es donde tenemos un uso malicioso de la maravillosa red TOR. El atacante insta al usuario a instalar el navegador oficial de la red TOR para ser totalmente anónimo, y le da los links donde tiene que entrar para pagar el rescata de 0.99 bitcoins, aproximadamente 430 dólares.

Si la clave no es comprada e introducida durante los primeros 7 días, el precio de la misma se duplicará. Esto puede verse en el sitio .onion al que debemos acceder para pagar, en Bitcoins, la recompensa:

Aquí un video de una infección real de Petya y cómo la víctima NO debería proceder:

Por qué digo que NO debería proceder a pagar la recompensa? Simple, porque estaremos incentivando este tipo de acciones maliciosas.

Recomendación

Señor usuario, mantenga backups regulares de sus datos, de sus discos, utilice servicios de nube para almacenamiento redundante, utilice el disco de algún otro equipo de su hogar, pero mantenga segura la información, de modo que si es atacado por Petya, solamente reinstale el sistema operativo y restaure sus datos.

En empresas es más que aconsejable mantener backups automatizados y periódicos, incrementales o diferenciales, pero una política de backup consistente de modo que un ataque de este tipo no sea [tan] catastrófico como parece.

Y por supuesto, no descargue ningún .exe de Dropbox a menos que sepa lo que está haciendo! Que los CV’s se distribuyen en formatos de documento .doc, .odt, .pdf, pero NO .exe!

No está de mas usar sistemas operativos abiertos como Linux

Finalmente, cabe decir que la arquitectura y funcionamiento de Petya es, sin lugar a dudas, GENIAL. Hace uso de la ingeniería social y la inocencia de los usuarios no instruidos en políticas básicas de seguridad informática para la distribución del ransomware, y luego cifra el sistema de disco de la víctima automáticamente y con cifrado robusto… sin lugar a dudas, es excelente su arquitectura y funcionamiento… solo queda lamentarse porque esas mentes creadoras estén trabajando para el lado oscuro de la fuerza.

Se agradece compartir para que la gente pueda tomar sus precauciones!!

Y espero que ayude a reducir contratiempos!!

Fuentes:

http://unaaldia.hispasec.com/2016/03/petya-un-nuevo-ransomware-que-impide-el.html

https://blog.gdatasoftware.com/2016/03/28213-ransomware-petya-encrypts-hard-drives