{"id":199,"date":"2016-04-04T21:07:08","date_gmt":"2016-04-04T21:07:08","guid":{"rendered":"http:\/\/blog.alvarconsultores.com.uy\/?p=199"},"modified":"2016-04-04T21:07:08","modified_gmt":"2016-04-04T21:07:08","slug":"petya-un-nuevo-ransomware-que-afecta-el-arranque-de-equipo","status":"publish","type":"post","link":"https:\/\/blog.alvarconsultores.com.uy\/?p=199","title":{"rendered":"Petya, un nuevo ransomware que afecta el arranque de equipo."},"content":{"rendered":"

\"Sin<\/a><\/p>\n

En el correr de la semana ha salido a la luz una nueva amenaza bautizada como Petya, se distribuye principalmente por correos electr\u00f3nicos que se disfrazan como propuestas de trabajo. Se trata de un nuevo caso de ransomware, el cual infecta el equipo y pide un rescate para descifrar los archivos, su caracter\u00edstica especial es que hace un bloqueo avanzado del sistema afectando directamente al disco duro. <\/span><\/p>\n

A diferencia de otros ransomware que realizan bloqueos de archivos, Petya tiene una particularidad, inyecta c\u00f3digo malicioso en el MBR (Master Boot Record), o en otras palabras, el sector de arranque del disco duro, lo que le impide su lectura normal y no deja tan siquiera que el sistema ingrese a Windows, explican los investigadores de la firma Trend Micro. Los que no entienden tanto de sistemas no sabr\u00e1n que funci\u00f3n cumple el MBR, se trata de los primeros sectores del disco duro donde com\u00fanmente queda escrito el sector que arranca el sistema, all\u00ed se aloja informaci\u00f3n sobre las particiones del disco y el sistema operativo. Si Petya modifica estos sectores tan importantes para Windows, el sistema no es capaz de arrancar, ya que el equipo no puede reconocer las particiones y no sabe d\u00f3nde se encuentra alojado el sistema operativo.<\/span><\/p>\n

Los cibercriminales utilizan como gancho correos electr\u00f3nicos ofreciendo empleo, ya que es m\u00e1s f\u00e1cil captar v\u00edctimas que est\u00e9n necesitando trabajo. En pa\u00edses donde la tasa de desempleo es alta, no se puede dejar pasar estas oportunidades. Seg\u00fan se pudo saber, Petya se est\u00e1 distribuyendo principalmente en empresas con mensajes dirigidos a departamentos de recursos humanos. Ahora bien, \u00bfpor qu\u00e9 va dirigido a las empresas?, por la simple raz\u00f3n que all\u00ed hay datos muy importantes y por ende muchas m\u00e1s v\u00edctimas. Trend Micro ha logrado hacerse con un correo electr\u00f3nico y dentro de \u00e9l hay una carpeta de Dropbox compartida, en su interior vemos un archivo de presentaci\u00f3n donde se extrae un curr\u00edculum vitae del solicitante y una foto totalmente falsa. En el caso de que la v\u00edctima caiga en la trampa y ejecute el archivo del curr\u00edculum, se instalar\u00e1 el ransomware en el equipo.<\/span><\/p>\n

\u00bfQu\u00e9 tal? Es dif\u00edcil detectar si un archivo malicioso es enviado en forma de curr\u00edculum vitae a una empresa, ya que podr\u00eda estar buscando empleados y todo parece ser ver\u00eddico. Por eso siempre se hace especial hincapi\u00e9 en un buen sistema de seguridad para las empresas. Una vez que Petya se aloj\u00f3 en el equipo se puede esperar lo peor, el ransomware comenzar\u00e1 a sobrescribir el sector MBR del sistema provocando que Windows muestre un error cr\u00edtico y pida reiniciar inmediatamente. Cuando el sistema intente arrancar posterior al reinicio, no pasar\u00e1 nada, quedar\u00e1 muerto.<\/span><\/p>\n

Algunos investigadores de seguridad explican que Petya es capaz de encriptar la tabla maestra de archivos (MFT), un archivo especial de la tabla de particiones NTFS que aloja informaci\u00f3n sobre todos los otros archivos. Al contrario de lo que pasa con los ransomware comunes, Petya no encripta datos de los archivos, lo que se traduce como una amenaza mucho m\u00e1s compleja de lo pensado y recuperar el disco duro podr\u00eda llevar much\u00edsimo tiempo. Una vez que se modifica la tabla de particiones NFTS, el sistema no puede iniciarse normalmente, estos datos del archivo son capaces de leerse si se utiliza las herramientas de recuperaci\u00f3n de datos correspondientes, pero reconstruir los archivos reales es algo complicado y no hay un tiempo determinado, m\u00e1s a\u00fan el particular de los archivos fragmentados que se alojan en diferentes bloques del disco.<\/span><\/p>\n

Una vez que se reinicie el equipo, Pertya mostrara una pantalla negra explicando que est\u00e1 reparando el disco local C:, porque encontro algunos errores en ciertos sectores del mismo. Pasar\u00e1 un tiempo luego que el an\u00e1lisis finalice y a continuaci\u00f3n veremos un pantallazo rojo: <\/span><\/p>\n

\"Sin<\/a><\/p>\n

\u201cPresione cualquier tecla\u201d dice la leyenda en la parte inferior de la pantalla.<\/span><\/p>\n

\"Sin<\/a><\/p>\n

Aqu\u00ed es donde empieza lo bueno, oficialmente el mensaje dice que ahora somos una v\u00edctima del ransomware Petya y los discos duros de nuestra computadora est\u00e1n encriptados con un algoritmo de grado militar. No habr\u00e1 manera de recuperar la informaci\u00f3n sin una llave de desencriptado especial que la podremos comprar siguiendo los pasos que detallan los cibercriminales a continuaci\u00f3n.<\/span><\/p>\n

Para proteger su privacidad, los cibercriminales quieren que descarguemos el navegador web Tor, que permite ingresar a la conocida deep web. \u00danicamente podremos adentrarnos a sitios web con extensi\u00f3n .onion mediante el navegador an\u00f3nimo Tor Browser. Esto quiere decir que necesitaremos otra computadora para una posible recuperaci\u00f3n de los archivos, porque la nuestra est\u00e1 bloqueada totalmente. La pantalla roja nos indica las URL a las que debemos ingresar para luego ingresar un c\u00f3digo de desencriptado que solo sirve para nuestro equipo.<\/span><\/p>\n

\"Sin<\/a><\/p>\n

Si algo hay que destacar es el profesionalismo de los cibercriminales, la web est\u00e1 disponible en 10 idiomas, para que nadie pueda dejar de pagar el rescate. Una vez adentro, tendremos un plazo de seis d\u00edas para pagar el rescate y obtener una llave de desencriptado, si pasa ese tiempo, el precio a pagar ir\u00e1 en aumento. Lo que todos se preguntan es \u00bfcu\u00e1l es el precio?, pues bien, la moneda elegida para pagar son los Bitcoins, y son aproximadamente 0.99 de precio base dentro de los seis d\u00edas, algo as\u00ed como 430 d\u00f3lares americanos.<\/span><\/p>\n

Seg\u00fan se supo, Petya ya ha logrado afectar a varias empresas alemanas, pero no se descarta el el ransomware se comience a expandir por el resto del mundo, debido a que su web se encuentra disponible en 10 idiomas. Las empresas deber\u00e1n ser muy cautelosas en este sentido, utilizando herramientas de seguridad empresariales para proteger sus redes de equipos. <\/span><\/p>\n

Los correos electr\u00f3nicos con URLs desconocidas no deber\u00edan ser abiertos, y mucho menos descargar archivos de dudosa procedencia, la alerta p\u00fablica est\u00e1 hecha y a partir de ahora habr\u00e1 que tener cuidado cuando alguien env\u00eda un curr\u00edculum vitae disfrazado en un archivo extra\u00edble (zip o rar).<\/span><\/p>\n","protected":false},"excerpt":{"rendered":"

En el correr de la semana ha salido a la luz una nueva amenaza bautizada como Petya, se distribuye principalmente por correos electr\u00f3nicos que se disfrazan como propuestas de trabajo. Se trata de un nuevo caso de ransomware, el cual infecta el equipo y pide un rescate para descifrar los archivos, su caracter\u00edstica especial es […]<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[1],"tags":[],"class_list":["post-199","post","type-post","status-publish","format-standard","hentry","category-sin-categoria"],"_links":{"self":[{"href":"https:\/\/blog.alvarconsultores.com.uy\/index.php?rest_route=\/wp\/v2\/posts\/199","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/blog.alvarconsultores.com.uy\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/blog.alvarconsultores.com.uy\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/blog.alvarconsultores.com.uy\/index.php?rest_route=\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/blog.alvarconsultores.com.uy\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=199"}],"version-history":[{"count":1,"href":"https:\/\/blog.alvarconsultores.com.uy\/index.php?rest_route=\/wp\/v2\/posts\/199\/revisions"}],"predecessor-version":[{"id":204,"href":"https:\/\/blog.alvarconsultores.com.uy\/index.php?rest_route=\/wp\/v2\/posts\/199\/revisions\/204"}],"wp:attachment":[{"href":"https:\/\/blog.alvarconsultores.com.uy\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=199"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/blog.alvarconsultores.com.uy\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=199"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/blog.alvarconsultores.com.uy\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=199"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}