° ¡Llegamos a 29.110.821 millones de visitas gracias a ustedes!

Petya (Virus)

De WikicharliE
Saltar a: navegación, buscar
  Petya (Virus)   Bienvenido a Departamento de Sistemas e Informática  

Presentación

Virus Informatico.png

Petya es un virus 'extorsionador' similar al virus WannaCry ataco a docenas de empresas en Ucrania, Rusia y España, entre otros países. Se trata de un malicioso programa informático que encripta las computadoras y pide dinero para desbloquearlas. El origen de la infección se encuentra en emails de phishing con enlaces maliciosos que contenían el ransomware, el cual pasa a propagarse por dispositivos conectados a la misma red local una vez ha infectado un computador, de manera similar a lo que hacía WannaCry. Fue reportado por la empresa Heise Security. Hay que aclarar que este "rasomware" apareció en el 2016.

WikicharliE Patrimonio de Chile

En la pantalla del computador infectado aparece el mensaje: "Si puedes leer este texto, tus archivos ya no están disponibles, ya que han sido encriptados. Quizás estás ocupado buscando la manera de recuperarlos, pero no pierdas el tiempo: nadie podrá hacerlo sin nuestro servicio de desencriptación".

A continuación, los 'hackers' solicitan al usuario un rescate de 300 dólares en bitcoines e indican una dirección del correo electrónico para enviar el justificante de pago.

El mensaje

"Si lees este texto, entonces tus archivos ya no son accesibles, porque han sido encriptados. Tal vez estás ocupado buscando una forma de recuperar tus archivos, pero no pierdas tu tiempo. Nadie puede recuperarlos sin un servicio de desencriptación.

Nosotros garantizamos que puedes recuperar todos tus archivos con seguridad y fácilmente. Todo lo que necesitas hacer es enviar el pago y comprar la llave de desencriptación.

Por favor siga las instrucciones:

  • 1. Envía un valor de USD 300 en Bitcoins a la siguiente dirección:

(El código de una billetera digital de Bitcoin)

  • 2. Envía el código de tu billetera de Bitcoin y tu llave personal de instalación al siguiente correo:

wowsmith123456@posteo.net

  • Si ya compraste tu llave, por favor ingrésala abajo"

Petya, a diferencia de WannaCry, lo que hace es cifrar el MFT (Master File Table) del disco duro, dejando el MBR (Master Boot Record) inoperable, e impidiendo el acceso al sistema a través de cifrar información sobre los nombres de archivos, tamaños y localización de los mismos en el disco duro. Además, Petya reempalza el MBR con su propio código malicioso con la nota del rescate

Una variante del ransomware Petya

La nueva versión del ransomware fue compilada al parecer el pasado 18 de junio, y solicita un rescate de 300 dólares en Bitcoin para recuperar acceso al computador. En el anterior ataque de WannaCry de mayo, los atacantes no desbloquearon ninguno de los computadores infectados, aunque de momento hay seis personas que han ingresado el dinero correspondiente a la dirección del atacante. (Actualización a las 18:12; ya son 13 pagos los realizados, equivalentes a casi 4.000 dólares)

El ransomware utilizado parece ser una variante de Petya llamada Petwrap, y estaría destinado a ordenadores con Windows, aprovechándose de alguna vulnerabilidad en versiones antiguas no parcheadas. Se aprovecharía de la misma vulnerabilidad en Windows SMBv1 que WannaCry, la cual Microsoft dijo que iba a eliminar del sistema operativo para evitar ataques de este tipo. La vulnerabilidad fue parcheada en marzo para los sistemas operativos más recientes, y en mayo para XP y versiones antiguas de Windows Server. El origen del ransomware se encuentra en Eternalblue, una de las herramientas de hackeo usadas por la NSA y filtradas por Shadow Brokers.

Actualización: según los análisis que se están realizando de los archivos infectados, el foco de infección son archivos de Excel o Word que aprovechan la vulnerabilidad de Office CVE-2017-0199.

Países afectados por el momento

Entre los países afectados por este nuevo ataque se encuentran España, Ucrania, India, Rusia y Reino Unido, a los cuales se están sumando otros tantos. Desde Ucrania, afirman que el ataque está siendo muy fuerte y tiene como objetivo todo tipo de empresas, como bancos, en el que afirman que es el mayor ciberataque de su historia.

Ucrania

En Ucrania, decenas de compañías, incluidos bancos y el distribuidor de energía estatal, se han visto afectadas por el ataque cibernético. El fabricante de aviones estatal ucraniano Antónov se ha visto afectado por un ataque cibernético, según una portavoz de la compañía que no ha precisado la gravedad del ataque

España

En España han quedado totalmente paralizadas las sedes de grandes multinacionales como la empresa de alimentación Mondelez y el bufete DLA Piper.

Desde DLA Piper, una de las primeras firmas afectadas en el país, se han informado al citado medio digital de que, tras aparecer el mensaje sobre la infección informática, a los trabajadores se les ordenó apagar los computadores y se les prohibió encender sus equipos o entablar comunicación alguna.

España está confirmado que están afectadas Mondelez (empresa de alimentación dueña de marcas de populares galletas como Oreo y Chips Ahoy) y DLA Piper (uno de los mayores bufetes de abogados del mundo), así como otras empresas como Maersk, la gran empresa dedicada al transporte y logística, la cual está sufriendo la infección en sus terminales APM.

Dinamarca

La danesa Maersk, líder en transporte marítimo, también ha sufrido un ataque cibernético que ha hecho caer sus sistemas informáticos "en muchas divisiones de la compañía", reza un comunicado de la firma en Twitter. EE.UU.

Asimismo, la compañía farmacéutica Merck sería la primera víctima estadounidense del ciberataque mundial.

Una posible solución

Aparentemente, Petya almacena la contraseña mencionada en nuestro disco duro, encriptada bajo Base64 (un método de codificación que puede desencriptarse facilmente). Con una herramienta podremos extraer este valor y luego ingresarla en un sitio web que nos devolverá la llave para poder recuperar la información.

Primer paso, conectar el disco duro infectado en un sistema sano

El primer paso es conectar el disco duro infectado por Petya en un computador que funcione correctamente y con Windows (sin infectar) en ejecución. Sin embargo, esto no es tan sencillo como aparenta, porque esta maniobra supone un riesgo para el disco duro sano. Por eso es recomendable desconectar el disco duro principal con Windows y utilizar otro, sobre el cual instalar Windows con sus drivers. Así evitamos que otro disco duro o SSD con datos importantes quede infectado y veamos el problema agrandado.

Una vez iniciada la sesión desde un disco duro sano con Windows y conectarle el disco duro infectado, se necesita extraer los siguientes datos del disco duro infectado por Petya:

  • Cifrado Base64 con verificación de datos de 512 bytes, localizado en el sector 55 (0x37) offset 0 (0x0) en el disco duro de la víctima (Base64 encoded 512 bytes verification data. Location on victim-disk: sector 55 (0x37) offset 0(0x0)).
  • Cifrado Base64 y nonce de 8 bytes, localizado en el sector 54 (0x36) offset 33 (0x21) en el disco duro de la víctima (Base64 encoded 8 bytes nonce. Location on victim-disk: sector 54 (0x36) offset 33(0x21)).

Extraer esos dos datos manualmente podría ser algo complicado, por eso un investigador llamado Fabian Wosar ha lanzado una herramienta llamada Petya Sector Extractor, que tiene que ser utilizada sobre el sistema no infectado. Dicha herramienta tiene dos botones, Copy Sector y Copy Nonce, que corresponden de forma respectiva a los dos puntos de arriba, aunque antes de copiar los datos hay que seleccionar el disco duro infectado en el desplegable.

Segundo paso, obtener la clave para descifrar Petya

Con el sector y el nonce en poder del usuario, el siguiente paso es acceder la página web petya-pay-no-ransom.herokuapp (puedes recurrir este mirror en caso de no funcionar) y pegar cada uno de los datos extraídos por Petya Sector Extractor.

El resultado obtenido tras pulsar Copy Sector se tiene que pegar en el campo de texto de arriba (Base64 encoded 512 bytes verification data. Location on victim-disk: sector 55 (0x37) offset 0(0x0)) pulsando Ctrl-V (el pagado estándar de toda la vida), mientras que en el campo de abajo (Base64 encoded 8 bytes nonce. Location on victim-disk: sector 54 (0x36) offset 33(0x21)) se tiene que pegar lo obtenido tras pulsar sobre el botón Copy Nonce. Por suerte lo obtenido por cada botón es muy diferente, así que en caso de equivocación el usuario tendría que darse cuenta rápidamente.

Una vez rellenados los dos campos con los datos obtenidos a través de Petya Sector Extractor, se pulsa sobre el botón Submit en la página web para procesar los datos y obtener una clave que se muestra en el texto “Your key is: ABCD”. El usuario tendrá que copiar en algún papel u otro soporte como una fotografía de calidad la parte correspondiente a ABCD, que varía según los datos introducidos

Tercer paso, introducir la contraseña

Ahora el usuario tendrá que introducir la clave obtenida del texto “Your key is:” en el disco duro infectado por Petya. Para ello es recomendable desconectar el disco duro sano utilizado para obtener la clave y configurar la placa para que inicie con el disco duro infectado. La clave se tiene que introducir en la parte inferior de la pantalla roja con letras blancas que aparece como consecuencia de la infección por Petya.

Una vez introducida la clave se tendría que iniciar el proceso de descifrado, el cual no tendría que tardar demasiado en un ordenador relativamente moderno.[1]

Pizarra

Logo Pizarra WikicharliE.JPG
  • Parece que el culpable de este nuevo ataque es un archivo de Excel que explota la vulnerabilidad de Office CVE-2017-0199
  • Petya se esparce como troyano usando el popular sistema de archivos en la nube Dropbox. Mientras la mayoría de los malware de secuestro de computadoras selecciona los archivos a encriptar, Petya aumenta el daño potencial al impedir el arranque de la computadora.

Enlaces de Interés

Visita otros de nuestros artículos

TODAS LAS PAGINAS.png
Haz click en el ícono

{{#leaseEnWikicharliE: Virus o Malwares Informático }}