Sin duda, la mayoría de nosotros recordaremos el ataque informático masivo del ransomware WannaCry, un malware que ha infectado millones de ordenadores de todo el mundo en cuestión de horas utilizando una vulnerabilidad que, de haber tenido Windows actualizado con los últimos parches de seguridad, no hubiese pasado. Cuando parecía que la tormenta había pasado, el pasado martes por la tarde, un nuevo ataque informático ha distribuido un nuevo malware, llamado como nuevo Petya, NotPetya o GoldenEye que, igualmente, ha afectado a millones de usuarios utilizando la misma vulnerabilidad. Sin embargo, aunque se creía que este malware era también del tipo ransomware, técnicamente puede que no sea así.
El ransomware es un tipo de malware que, una vez infectado un ordenador, automáticamente genera un ID único del ordenador víctima del ataque y, a partir de él, genera un par de claves para empezar a cifrar todos los datos almacenados en los discos duros para, después, pedir el pago del rescate a cambio de la clave de recuperación. Cuando se hace un pago, es necesario facilitar el ID de manera que se nos pueda devolver nuestra propia clave para recuperar los archivos.
A grandes rasgos, el malware Petya, NotPetya o GoldenEye (ha recibido varios nombres, según quién lo ha analizado) trabaja como un ransomware, es decir, un malware que cifra los discos de los usuarios para obligarles a pagar el rescate a cambio de la clave, un análisis en profundidad de este malware demuestra que, en realidad, los piratas informáticos detrás de este malware en ningún momento han tenido la intención de permitir a los usuarios recuperar sus datos, sino más bien que, desde el principio, han buscado hacer daño y causar el caos en todo el mundo.
Es verdad que cuando Petya, NotPetya o GoldenEye infectaba un sistema, este cifraba todos los datos y mostraba un aviso que pedía a los usuarios realizar un pago de 300 dólares, en Bitcoin, a cambio de sus datos. Sin embargo, como hemos dicho, además de sin los datos, también te quedarás sin los 300 dólares.
Si quieres saber cómo proteger tu PC del ransomware Petya con un simple archivo, los compañeros de RedesZone nos explican cómo hacerlo.
Cómo funciona el cifrado de Petya y los ID generados por este malware
Cuando Petya, NotPetya o GoldenEye infecta un ordenador, el malware genera un ID aleatorio para cada ordenador. Este ID es el que se utiliza para generar la clave de cifrado y, normalmente, se almacena de forma segura en un servidor externo. Este malware utiliza, como cualquier otro ransomware, el ID para cifrar los datos de las víctimas. Sin embargo, ni el ID ni la clave de cifrado se almacenan en un servidor externo, por lo que es imposible que los usuarios recuperen su clave, aunque paguen, para recuperar los datos.
A diferencia de otras amenazas similares que cifran todos los archivos uno a uno, Petya cifra directamente la Master File Table (MFT), unos pocos bytes que, sin ellos, todos los datos de nuestro disco duro quedan totalmente inaccesibles. Así era como trabajaba el ransomware original Petya de 2016 y, por ello, se pensaba que este nuevo malware podía tener relación, pero no.
Una cosa es que la conexión con el servidor de claves falle o que luego no se pueda recuperar la clave a partir del ID, como ha pasado en varias ocasiones, pero es que los piratas informáticos responsables de este ataque ni se han molestado en crear una función para guardar las claves en el servidor.
Esto demuestra dos teorías, la primera de ellas que, tal como se pensaba, los datos de los usuarios afectados por este malware no se pueden recuperar al no existir la correspondiente clave ni la posibilidad de volver a generar el ID aleatorio y, por otro lado, que esto se ha hecho intencionadamente (ya que forma parte del código fuente del malware), por lo que estos piratas no buscaban hacer dinero (que también, haciendo que la gente pague para dejarles, además de sin dinero, sin los datos), sino que su principal objetivo era generar caos.
Y lo han conseguido.
Los datos cifrados por Petya, NotPetya o GoldenEye nunca podrán ser recuperados
Tal como hemos explicado anteriormente, no hay una base de datos con las claves en un servidor remoto, sino que al generarse todas ellas de forma aleatoria va a ser imposible recuperar los datos, aunque paguemos el rescate a los piratas informáticos.
Es más, aunque consiguieran identificar a estos y tuvieran acceso a todos sus ordenadores y servidores, en ningún momento se podrán recuperar estas claves, ya que no existen, por lo que los datos que han sido cifrados con este ransomware se han perdido, para siempre, no hay la menor oportunidad de recuperación.
Por ello, al no haber posibilidad de rescate, o «ransom», este malware no puede ser considerado un ransomware, sino una herramienta maliciosa que busca tan solo hacer daño y generar caos en todo el mundo.
Un leve rayo de esperanza
Aunque todo pinta muy mal, en realidad no está perdido al 100%, sino que aún queda una pequeña, muy pequeña, probabilidad de poder recuperar los datos. NotPetya ha copiado tanto código del ransomware Petya original que hasta ha incluido los mismos vectores que este, por lo que, actualmente, están estudiando la posibilidad de romper la clave de cifrado utilizando la clave privada del ransomware original, un proceso complicado y muy poco probable, pero, al menos, brinda un 1% de probabilidad de recuperación de los datos.
¿Qué opinas de Petya, NotPetya o GoldenEye? ¿Crees que conseguirán recuperar los datos por fuerza bruta?