Virus informaticos

En muchas otras ocasiones en Malavida ya hemos tocado el tema del ransomware, ese tipo de virus especial que “secuestra” el ordenador del usuario y le obliga a pagar un “rescate” para que pueda volver a utilizarlo. El auge que ha experimentado durante los últimos años este tipo de malware hace que aparezcan nuevas amenazas casi a diario. Algunos nombres como los de CryptoLocker o el “virus de la Policía” ya suenan a caduco, a reliquias del pasado, pero siguen siendo vigentes a día de hoy. Siguen haciendo daño y recaudando dinero. Sigue habiendo incautos que pagarán lo que se les diga por recuperar su información personal.

Pues bien, según se publicó el pasado 26 de marzo en NeoWin hay un nuevo ransomware corriendo por Internet, que responde al nombre de Petya y que afecta a sistemas operativos Windows.

¿Qué es y qué hace Petya exactamente?

Petya, como amenaza, da bastante miedo. Se ha clasificado como un virus del tipo ransom lock, lo que en su metodología lo acerca a CryptoLocker: se cuela sorteando las medidas de seguridad de tu ordenador, bloquea tu sistema de archivos y pide un “rescate” para que lo puedas recuperar. Al igual que el ransomware por antonomasia, Petya se aprovecha de usuarios de PC inocentes para sacarles el dinero con engaños.

Cuando se introduce en el ordenador, este ransomware muestra un mensaje de advertencia que informa al usuario de que sus archivos se han cifrado usando métodos muy poderosos, pidiendo una cantidad fija de dinero que es necesario pagar en un tiempo límite. También se informa al usuario de que cualquier intento de eliminar el cifrado borrará todos los archivos.

Código de un rootkitCódigo de un rootkit / Christiaan Colen editada con licencia CC BY-SA 2.0

La vía más popular de propagación de Petya es a través de un enlace de un correo eletrónico. Este enlace lleva, en teoría, a descargar el currículum de una persona a través de algo que se parece a Dropbox, pero lo que en realidad estamos metiendo en nuestro ordenador es un troyano que prepara el terreno para la infección.

Lo primero que el virus reescribirá es el sector de arranque o MBR. Cuando lo haya hecho, el ordenador nos mostrará un pantallazo azul y se reiniciará. El código malicioso que ha estado jugueteando con el MBR de nuestro disco duro empezará a hacer su particular magia, mostrando una operación de comprobación de disco falsa.

Durante esta operación se cifrará también la Master File Table o MFT, que contiene información sobre todos los demás archivos que hay en el disco duro: su nombre, tamaño y lugar en el que se encuentran en los sectores del disco. Debido a que cifrar todos los datos del disco duro costaría una eternidad, sólo con reescribir la MFT el sistema operativo ya no sabrá dónde se encuentran sus archivos. Puedes ver a Petya en acción aquí debajo:

¿Cómo eliminar Petya? Acudiendo a una página web

Hasta pace poco no se podía hacer nada. O pagabas el rescate, o decías adiós a tu información personal. Los investigadores de G DATA estuvieron analizando el virus para saber cómo poder eliminarlo, aunque si hicieron algún descubrimiento no lo comunicaron de forma inmediata.

Hasta hace nada no se ha había dado con método que restaure el MBR y la MFT. Son las dos partes del disco duro que Petya cifra totalmente, y son conditio sine quanon para que el ordenador vuelva a funcionar con normalidad.

Según se ha podido saber gracias al trabajo de Bleeping Computer, la cantidad demandada es de 0.90294000 Bitcoin, lo que al cambio son 342,79 euros. Es lo que tendrías que pagar si no hubiese una forma de solucionar este problema, pero por suerte para ti ya no va a ser necesario que te rasques el bolsillo.

Un programador no identificado ha creado una webapp que permite descifrar los contenidos de tu disco. Con esta aplicación se puede tener un ordenador infectado desbloqueado en menos de siete segundos, aunque se requieren ciertos conocimientos avanzados para ello. Tendrás que extraer o bien los datos ubicados en sector 55 (0x37) offset 0(0x0) y en sector 54 (0x36) offset 33(0x21). Para ello vas a necesitar una herramienta especial, que podrás descargar desde aquí. Lo siguiente será pegar los dos códigos que obtendrás en este enlace, con lo que obtendrás la clave necesaria para descifrar tu disco.

Relacionados

Opiniones de los usuarios

  • Como podria probar este virus en las maquinas virtuales, hacer la prueba en un disco duro luego usar el virus y hacer el backup?.

  • El problema va más allá, ya que no sólo cifra el MBR, sino que también la MFT. Aunque consiguieses restaurar lo primero lo segundo quedaría en el aire también.

Nos encanta escucharte ¿Nos dejas tu opinión?