Petya (malware)

De Wikipedia, la enciclopedia libre
Saltar a: navegación, búsqueda
Petya
Petya.Random.png
Información
Alias GoldenEye y NotPetya Ver y modificar los datos en Wikidata
Clasificación Río Eno
Tipo Ransomware
Subtipo Criptovirus
Sistema operativo Microsoft Windows Ver y modificar los datos en Wikidata
Fecha de inicio marzo de 2016 Ver y modificar los datos en Wikidata
[editar datos en Wikidata]

Petya es un malware de tipo ransomware reportado por la empresa Heise Security. Petya se esparce como troyano usando el popular sistema de archivos en la nube Dropbox.[1]​ Mientras la mayoría de los malware de secuestro de computadoras selecciona los archivos a encriptar, Petya aumenta el daño potencial al impedir el arranque de la computadora.

Historia[editar]

Petya fue descubierto por primera vez en marzo de 2016.[2]​ Otra variante de Petya descubierta en mayo de 2016.

Ciberataque en 2017[editar]

El 27 de junio de 2017, comenzó un ciberataque mundial (las compañías ucranianas fueron las primeras en afirmar que estaban siendo atacadas), utilizando una nueva variante de Petya.[3]​ En ese día, Kaspersky Lab informó de infecciones en Francia, Alemania, Italia, Polonia, Reino Unido y Estados Unidos, pero que la mayoría de las infecciones se dirigieron a Rusia y Ucrania, donde más de 80 empresas fueron atacadas, incluyendo el Banco Nacional de Ucrania.[4]

Funcionamiento[editar]

Este malware utiliza ingeniería social para convencer a usuarios (o a administradores de redes) de descargar un archivo que al abrirlo se autoextrae y ejecuta el troyano. Al ejecutarse aparece una alerta de Windows. Si el usuario prosigue, Petya se aloja el registro de arranque principal del la computadora de la víctima, desactiva el modo de inicio seguro de Windows y el equipo se reinicia. Al reiniciar, aparecen ventanas de alerta indicando que el equipo ha sido secuestrado y cómo acceder al sitio de los secuestradores para pagar el rescate antes del vencimiento de un plazo de tiempo. Al vencerse el plazo de tiempo, el monto del rescate se duplica.

Los primeros ataques observados ocurrieron en Alemania, con una campaña de mensajes dirigidos a empresas de recursos humanos, donde un candidato incluye un enlace para descargar su currículo desde Dropbox.[5]​ Desde su descubrimiento, los antivirus han empezado a actualizarse y la empresa Dropbox eliminó de sus servidores los archivos afectados allí alojados.[6]

Acciones mitigantes[editar]

Lo primero que debe hacer una víctima de secuestro de computadora es apagar el equipo, dado que mientras esté encendido el malware podría encriptar más archivos. Se ha reportado que es posible reiniciar desde otro disco diferente del infectado y recuperar los archivos del disco comprometido. En los sistemas revisados por Heise Security no se observó encriptamiento de archivos, solo del registro de arranque principal.[5]

Rescate gratuito[editar]

Gracias a un esfuerzo colectivo, tras la publicación de los detalles de malware, fueron publicadas dos herramientas claves para rescatar los equipos secuestrados sin pagar el rescate. La primera es un analizador que toma como entrada extractos de archivos que fueron encriptados por Petya y genera una clave similar a la que reciben las víctimas tras haber pagado rescate. La segunda es un extractor de segmentos que permite generar la entrada para el analizador. La debilidad del mecanismo de encriptamiento usado por este malware permite rescatar los equipos secuestrados. Es previsible que nuevas generaciones de este malware utilicen un método de encriptamiento más sofisticado.[7]

Referencias[editar]

  1. Security, heise. «Petya: Erpressungs-Trojaner riegelt gesamten Rechner ab». Security (en alemán). Consultado el 30 de junio de 2017. 
  2. «Petya, un nuevo ransomware que impide el acceso al disco duro». unaaldia.hispasec.com. Consultado el 1 de julio de 2017. 
  3. «Petya es el nuevo ransomware que causa estragos en todo el mundo». unaaldia.hispasec.com. Consultado el 1 de julio de 2017. 
  4. «Un nuevo ciberataque con foco central en Ucrania y Rusia afecta también a multinacionales con sede en España». abc. 27 de junio de 2017. Consultado el 1 de julio de 2017. 
  5. a b «New ransomware installs in boot record, encrypts hard disk [Updated]». Ars Technica (en inglés estadounidense). Consultado el 30 de junio de 2017. 
  6. «PETYA Crypto-ransomware Overwrites MBR to Lock Users Out of Their Computers - TrendLabs Security Intelligence Blog». TrendLabs Security Intelligence Blog (en inglés estadounidense). 25 de marzo de 2016. Consultado el 30 de junio de 2017. 
  7. «Experts crack nasty ransomware that took crypto-extortion to new heights». Ars Technica (en inglés estadounidense). Consultado el 30 de junio de 2017.