ALERTA, NUEVO RANSOMWARE
El día 27 de Junio se dio a
conocer un nuevo virus de tipo RANSOMWARE llamado “Petya” (Es una variante del
mismo virus NotPetya o GoldenEye), el cual está causando estragos por ser más
resistente que “WannaCry”. El ataque ha afectado a todo tipo de empresas y
organismos estatales en Europa, en países como Ucrania (llegando incluso a los
ordenadores que miden la radiación en Chernobil) o Francia (a
Auchan o a la compañía ferroviaria del páis, SNCF).
Petya ha aprendido de los fallos de WannaCry, aunque no es suficiente
Entre los afectados se encuentran más de 2.000 organismos que van desde
empresas como Maersk, dedicada al transporte y logística de containers, Merck,
una compañía médica, e incluso al gobierno y bancos de Ucrania, así como hasta
los ordenadores que usan algunas cadenas de supermercados.
Petya no sólo aprovecha una de las
herramientas de hackeo de la NSA, sino que usa hasta tres
El código de Petya, según han
analizado ya algunos expertos de seguridad, no incluye ese error. WannaCry se
propagaba como un gusano por Internet en ordenadores vulnerables y no
parcheados con Windows. Petya, por otro lado, incluye otras herramientas para
propagarse incluso en ordenadores parcheados, usando documentos de Office en
formato Excel o Word para lanzar macros maliciosos.
Junto con este fallo, Petya usa otra
vulnerabilidad de la NSA llamada EternalRomance, y parcheada por Microsoft
también en marzo, así como otra llamada EsteemAudit enfocada a Windows XP y
Windows Server 2003, la cual Microsoft parcheó de manera excepcional hace un
par de semanas.
Una vez que Petya está dentro de una red, roba las credenciales de
acceso de administrador, obteniendo control total sobre herramientas de manejo
del sistema como Windows PsExec y WMI (Windows Management Instrumentation). Con
sólo acceder a estos permisos en un ordenador, el ransomware puede infectar al
resto de la red, lo cual tiene en vilo a los administradores de ordenadores en
empresas. Otro fallo que cometió WannaCry es no establecer una
dirección única de pago por cada ordenador infectado, ya que usaron
sólo cuatro y no tuvieron manera de identificar quien pagaba para enviarle la
clave de descifrado. La variante de Petya simplemente añade un paso manual para
cerciorarse: enviar una prueba de pago de los 300 dólares en Bitcoin a
una dirección de email, lo cual puede dar alas a pensar que pueden dar
la clave de descifrado de los ordenadores, aunque esto no suele ocurrir y
siempre es recomendable no pagar. Además, el email al que se envían esas
pruebas, gestionado por Posteo, ha sido eliminado, por
lo que el hacker ya no tiene acceso a esa cuenta. Por último, mientras
que WannaCry cifraba los archivos del PC, Petya obliga a reiniciar el PC para
ejecutarse en el arranque y cifrarlo, por lo que, si te aparece un mensaje de
Check Disk al arrancar el PC, tienes que apagarlo de inmediato, ya que así
puedes salvar el mayor número de archivos posible. Para impedir que se
distribuya por una red local, es aconsejable bloquear la ejecución del
archivo C:\Windows\perfc.dat.
Te invitamos a mantenerte alerta o
tener un servicio de antivirus con licencia original para no verte afectado.