Por suerte, tiempo después apareció una forma gratuita de poder descifrar este peligroso malware, que tenía como principal medio de distribución el correo electrónico y los servicios de almacenamiento en la nube, debido a que hoy en día hay muy pocos servicios de correo que permiten adjuntar ficheros .exe en un email. Sin embargo, recientemente ha aparecido una nueva versión de Petya que lo ha vuelto incluso más peligroso que antes.
En la primera versión, si Petya fallaba a la hora de conseguir los privilegios de administrador necesarios para poder sobreescribir el MBR, el proceso de infección de detenía y tanto el usuario como el ordenador se quedaban a salvo. Viendo este fallo, los programadores han creado una variante de Petya llamada Mischa, que se encarga de “compensar” el fracaso provocado por la no concesión de los permisos, realizando un cifrado de los ficheros personales del usuario de forma directa. Debido a que esta infección alternativa por parte de Mischa se realiza a nivel de la carpeta del usuario, no necesita que se le conceda permisos para actuar. Este mismo principio fue el que mencionamos en nuestro especial sobre las medidas a tomar para prevenir el ransomware en lo que respecta a los usuarios de Linux, los cuales tienen que tener cuidado con los programas portables porque esos pueden dañar los ficheros personales, causando un daño incluso mayor que si se infectaran los ficheros del sistema, ya que las configuraciones del sistema se pueden recuperar con tiempo y dedicación, pero los ficheros personales se pierden salvo que haya una copia de seguridad de estos.
Como método de infección alternativo, Mischa ofrece un comportamiento más estándar en cuanto a ransomware se refiere, centrando su objetivo en los ficheros personales sin aparentemente dañar el sistema. Después de conseguir infectar y conseguir llevar con éxito algunos de sus métodos de infección, el atacante pide un rescate de 1,93 bitcoins (unos 875 dólares) para llevar a cabo el proceso de descifrado.
Al igual que Petya en su momento, Mischa se está distribuyendo de la misma forma, a través de correos electrónicos que contienen en el cuerpo del mensaje un enlace que dirige hacia el programa malicioso, que ahora está disfrazado de documento PDF. Esta estrategia tiene el foco puesto en las empresas, sobre todo los departamentos de recursos humanos, así que como medida de precaución recomendamos no abrir ningún enlace que esté en el cuerpo de un email enviado por un supuesto candidato, aunque tampoco es que sea muy difícil saltarse la protección contra el adjuntar ficheros ejecutables en los emails.
Por ahora no se conoce ninguna forma de poder descifrar Mischa de forma gratuita.
Fuente: CSO Online | muyseguridad
