Petya Ransomware, otro ataque que causa estragos parecidos al de WannaCry

Luego del reciente ataque del Ransomware Wannacry, el cual provocó que miles de empresas a nivel mundial fuesen afectadas, un reciente ataque de otro ransomware provoca que las empresas tiemblen y empiecen a tomar más en serio la Seguridad Informática.

Antes de entrar en detalles veamos primero que es un Ransomware:

Es un software o programa  malicioso que busca cifrar archivos en los sistema que infecta, esto con el objetivo de pedir luego un rescate, de allí su nombre; Ransom que en español significa “Rescate” y ware del diminutivo de “Software“, cabe destacar el que ransomware esta programado de tal manera que afecta archivos que son considerado para los usuarios como “importantes”, por ejemplo, los archivos con extensiones  tipo .jpg, .png, los archivos de texto como .doc, .xml, o los famosos .pdf, es decir los archivos por lo que una persona o empresa pagaría para rescatarlos.

Acá un lista ampliada de las extensiones que normalmente busca cifrar:

.3ds .7z .accdb .ai .asp .aspx .avhd .back .bak .c .cfg .conf .cpp .cs .ctl .dbf .disk .djvu .doc .docx .dwg .eml .fdb .gz .h .hdd .kdbx .mail .mdb .msg .mrg .ora .ost .ova .ovf .pdf .php .pmf .ppt .pptx  .pst .pvi .py .pyc .rar .rtf .sln .sql .tar .vbox .vbs .vcb .vdi .vfd .vmc .vmdk .vmsd .vmx .vsdx .vsv .work .xls .xlsx .xvd .zip

¿Como funciona un Ransomware?

El ransomware a mutado desde que inició en el 2012, sin embargo muestra un comportamiento
característico, primero: este se propaga como un troyano o un gusano (Worm), ya sea por correo electrónico camuflándose en archivos apetecibles para los usuarios, una vez que el archivo es descargado por el usuario este se ejecuta automáticamente sin que el usuario lo perciba e inicia el proceso de cifrado de forma silente, una vez que ya a cifrado cierta cantidad de archivos, este muestra un mensaje para que el usuario se entere de que fue atacado y ademas muestra la información para el pago del rescate que normalmente es en bitcoin u otra moneda electrónica.

Ahora vemos en que consiste este nuevo ataque llamado Petya Ransomware (Petwrap):

Petya (diminutivo de Pedro en Ruso) se aprovecha del mismo exploit que el WannaCry, el ya conocido ETERNALBLUE. a diferencia del Wannacry, Petya cifra el MBR (Master Boot Record) Registro de arranque principal de sistema operativo, con esto imposibilita al usuario acceder al sistema operativo una vez que reinicia el equipo luego de su infección, igualmente posee un temporizador que obliga el reinicio del equipo. una vez reiniciado el equipo aparece la pantalla que en donde indica que tus archivos han sido cifrados y ya no son accesibles, ademas indica que no pierdas el tiempo intentando recuperarlos.

¿Que podemos hacer para proteger nuestro equipo?

  • Lo primero es mantener el equipo con las actualizaciones de seguridad de Microsoft, a acontinuación se encuentra el enlace oficial:

MS17-010

  • No abrir ningún correo de un remitente sospechoso o un archivo no esperado un remitente conocido, siempre desconfiar de los archivos que nos envían.
  • Crear un archivo en C:/Windows con el nombre perfc sin extensión y con permisos de solo lectura, esto debería detener un posible cifrado de archivos ya que Petya primero comprueba que no existe ese archivo para iniciar el proceso de cifrado.
  • Siempre mantenga respaldos actualizados de su información importante.
  • Mantenga actualizado su antivirus, aunque esto no garantiza nada.

Espero que esta información les ayude, saludos

 

 

 

1 Comment Unéte a los comentarios →