Una vez “secuestrado” el disco duro e imposibilitado el acceso a los datos, la única forma conocida de poder restaurar el MBR y la MFT es a través del pago de 0,99 bitcoins, que vienen a ser unos 430 dólares. La elección de bitcoin por parte de los atacantes que utilizan ransomware no es casual, ya que la criptomoneda permite realizar transferencias de dinero sin que quede constancias del emisor y el receptor.

Rutina de infección

Según Trend Micro, Petya tiene el foco puesto en las empresas, ya que se distribuye a través de emails de supuestos aspirantes a trabajadores que contienen un enlace hacia una carpeta pública ubicada en Dropbox. Dicho enlace permite descargar un ejecutable que tendría que abrir el currículum vitae del aspirante, pero que en realidad se trata del propio ransomware.

Al parecer, el enlace de Dropbox dirige a una carpeta que contiene una foto del falso candidato y un ejecutable .exe. Esto quiere decir que los usuarios de sistemas alternativos como Linux y OS X no pueden ser infectados en un principio. Por otro lado recibir un currículum en un fichero .exe resulta algo extraño, así que lo recomendable es no ejecutar ningún .exe de origen extraño, siendo esta una práctica de seguridad básica.

Carpeta-de-Dorpbox-con-el-ransomware-Petya.jpg

Una vez ejecutado el fichero .exe, el PC mostrará en varias ocasiones pantallas azules de la muerte y se reiniciará, aunque esto último no empezará a hacerlo hasta que el MBR haya sido modificado por Petya. Cuando el proceso haya terminado, al reiniciarse el ordenador mostrará lo que se ve en la siguiente imagen.

Se supone que aquí se está realizando un chequeo del disco duro, pero todo apunta a que en realidad es cuando Petya se encarga de imposibilitar el acceso a los ficheros alojados en el disco duro. Según G Data, lo bloqueado es el acceso a los ficheros, pero no lo ficheros en sí. Después de la falsa comprobación del sistema se muestra la imagen de la portada y luego las instrucciones a seguir si se quiere proceder a realizar el pago y descifrar el disco duro.

Petya-RansomNote.jpg

Después la víctima tendrá que visitar el sitio web de Petya utilizando Tor Browser Bundle si quiere iniciar el proceso de descifrado de su disco duro. Para ello supuestamente tendrá que realizar el pago y suministrar el código de descifrado que aparece en la imagen de arriba. Luego parece que la víctima tendrá que introducir un código que los atacantes le suministrarán.

csm_Petya-RansomSite_8ebf23a247.jpg

G Data ha publicado en YouTube un vídeo que muestra a Petya en acción sobre un sistema ejecutado en VirtualBox. Esto se hace así para aislar y evitar daños en el sistema anfitrión, cosa que nosotros también hemos hecho para el artículo sobre las extensiones de los antimalware.

Conclusión

Petya se ha convertido posiblemente en uno de los ransomware más peligrosos que se conozcan y parece que traerá cola, como CryptoLocker en su momento.

Hasta el momento se sabe que tiene el enfoque puesto en las empresas, así que si cualquier usuario común recibe un email procedente de un aspirante que quiere trabajar con él, lo mejor que puede hacer es eliminarlo sin ni siquiera abrirlo, y en caso de haber abierto el email, no abrir bajo ningún concepto ningún enlace que aparezca en él.

Tristemente, hoy en día muchos tipos de fichero pueden alojar malware en su interior, incluso los más comunes para currículums como PDF, Doc y Docx. Sin embargo, si alguien envía su currículum en formato .exe, con casi toda probabilidad se tratará de un malware.

Por otro lado, el hecho de que el fichero .exe vaya en una carpeta pública de Dropbox no es casualidad, ya que actualmente muy pocos servicios de correo electrónico permiten adjuntar ficheros .exe debido a la transmisión de malware, aunque también hay formas de engañar esos mecanismos.

Trend Micro ya ha avisado a Dropbox sobre la peligrosidad de esa carpeta pública, sin embargo eso no impide a los atacantes usar otra en caso de ser cerrada, ya sea en otro servicio o dentro del mismo.

 

Imágenes y vídeo | G Data

Fuentes: Trend Micro | G Data | muyseguridad