Petya y sus variantes, todo lo que se sabe del nuevo ransomware similar a Wannacry

Escrito por Roberto Adeva
Seguridad
0

Ayer a primera hora de la tarde se volvía a vivir una situación similar a la que se vivió hace aproximadamente un mes y medio cuando el ya popular WannaCry infectaba un buen número de equipos de importantes compañías es España y Europa. Telefónica era una de las primeras en avisar de la situación, ya que fue una de las afectadas, pero no tardaron en conocerse otras compañías afectadas como el propio sistema sanitario de Reino Unido. Pues bien, ayer mismo veíamos como otra amenaza en forma de ransomware volvía al ataque y ponía en alerta a medio mundo, NotPetya.

En este caso WannaCry daba paso a una nueva versión del famoso ransomware Petya, ya que se basa en gran parte del código de Petya, y a él ya muchos expertos en seguridad lo han bautizado con el nombre de NotPetya o GoldenEye. Este nuevo ataque de ransomware ha conseguido infectar a un buen número de empresas y organismos oficiales de distintas ciudades europeas, se dice que podría haber superado los 2.000 objetivos, y donde compañías de gran envergadura como la gigante naviera Maersk, la farmaceútica Merck y múltiples instituciones y entidades bancarias de Ucrania como la oficina de correos son algunas de las más afectadas.

Petya o NotPetya ransomware

Petya aprovecha la misma vulnerabilidad que WannaCry

Su rápida propagación ha sido gracias a la misma vulnerabilidad que aprovechó WannaCry el pasado mes de mayo y que se conoce con el nombre de EternalBlue, un exploit desarrollado supuestamente por la NSA y que fue filtrado en el mes de abril por el grupo de hackers Shadow Brokers. EternalBlue aprovecha una vulnerabilidad en la implementación del protocolo Server Message Block (SMB) de Microsoft, ya que la versión 1 del servidor SMB (SMBv1) acepta en varias versiones de Windows, paquetes específicos de atacantes a los que les permite ejecutar código de forma remota.

Un problema que Microsoft solucionaba con el parche de seguridad MS17-010 que liberaba el pasado mes de marzo para todas las versiones de Windows que todavía cuentan con soporte por parte de la compañía. Por lo tanto, todos aquellos equipos con sistema operativo Windows que no estén actualizados y no cuenten con este parche instalado están en el punto de mira de NotPetya o GoldenEye.

Petya o esta nueva versión de Petya es más potente que WannaCry

Desde ayer mismo son muchos los expertos en seguridad que están analizando el código del responsable de este nuevo ataque de ransomware que es capaz de propagarse como un gusano por Internet y llegar a infectar equipos vulnerables que no estén parcheados con la citada actualización. No obstante, esta nueva variante de Petya ha sido creada a conciencia para no caer en los mismos errores de WannaCry y es capaz de llegar incluso a ordenadores parcheados a través de documentos de Office, Excel y Word, que ejecutan macros con código malicioso.

El hecho de que los creadores de NotPetya o GoldenEye hayan aprendido de los errores de WannaCry, hace pensar a los expertos de seguridad que este nuevo ataque de ransomware puede ser más potente que el del pasado mes de mayo, ya que añade un cifrado mucho más fuerte, puede llegar a infectar a más ordenadores y tiene la capacidad de usar otra vulnerabilidad de la NSA conocida como EternalRomance, que también fue parcheada por Microsoft en el mes de marzo, así cómo otra que afecta especialmente a Windows Server 2003 y Windows XP que consiguieron solucionar desde Redmond hace tan solo un par de semanas y es conocida bajo el nombre de EsteemAudit.

Petya o NotPetya

Como ya adelantábamos ayer, NotPetya cifra los datos de los ordenadores infectados y muestra una pantalla en la que explica las condiciones para poder recuperar el acceso a la información almacenada en el ordenador. Como buen ransomware, este Petya o NotPetya, solicita el pago de 300 dólares en Bitcoins por el rescate de los datos a sus víctimas, algo que por otra parte, tampoco garantiza que vayamos a poder recuperar los datos aún después de pasar por caja.

En este sentido, NotPetya ha aprendido nuevamente de los errores de WannaCry, que como ya sabemos no estableció una dirección única de pago por cada equipo afectado y provocó que no supieran exactamente quien procedía a realizar el pago por el rescate de su equipo y por lo tanto, no pudieran enviarle la clave de descifrado. Esta nueva variante de Petya se basa en la validación de pago manual, es decir, cuando una víctima realice el pago del rescate, deberán enviar un mensaje de correo electrónico con el comprobante de pago para que los responsables detrás de NotPetya le envíen su clave de descifrado.

De momento sin solución fácil para el nuevo ataque de Petya

Hasta el momento, parece que no hay una solución fácil para protegerse de este nuevo ataque de ransomware, salvo contar con nuestro sistema Windows completamente actualizado, aunque tampoco nos garantiza que podamos ser víctima de NotPetya. Como medida de precaución, los investigadores señalan que este ransomware se ejecuta en el arranque del sistema, por lo que si vemos que nos aparece un mensaje de Check Disk al iniciar el equipo, lo mejor será apagarlo de inmediato para intentar evitar que se cifren todos nuestros archivos.

Por otra parte, para evitar que el ataque se propague por una red local, los compañeros de RedesZone nos enseñan cómo crear y bloquear un sencillo archivo en nuestro disco duro que, al detectarlo el ransomware, automáticamente sale de la rutina de cifrado, quedando nuestros datos protegidos frente a esta amenaza.

Compártelo. ¡Gracias!
Continúa leyendo