Ataque Informártico Petya: ¿Qué es y Cómo Puede Detenerse?

Petya es el nombre dado al último ataque informático que golpeo a muchos países en Europa, especialmente Ucrania y algunas partes en Estados Unidos. El ataque de este programa malicioso paralizo a muchas compañías y las llevó a detener sus operaciones durante un período de tiempo corto. El ataque comenzó el 27 de junio de 2017 e infectó ordenadores dentro de Ucrania inicialmente antes de expandirse rápidamente a ordenadores en otras partes del mundo. Las principales compañías que fueron atacadas incluyen Maersk, DLA Piper, Mondelez y WPP al igual que varias organizaciones del gobierno de Ucrania. Petya bloqueo ordenadores que funcionaban con el sistema operativo de Windows y demando rescate de alrededor de $300 de Bitcoin como pago para desbloquearlos.

• Parte 1: ¿Qué es Ransomware?
• Parte 2: ¿Cómo funciona Petya Ransomware?
• Parte 3: ¿Cómo puede ser detenido?
• Parte 4: ¿Qué debo hacer si soy afectado por Ransomware?
• Parte 5: ¿Puedes volver a recuperar tus archivos?

Part 1: ¿Qué es Ransomware?

Ransomware is un programa malicioso que está diseñado para encriptar los archivos en un sistema de ordenador y luego pide por el pago de dinero usualmente de métodos de pago electrónicos como Bitcoin para descriptar los archivos. Si el pago no es efectuado, todos los archivos del ordenador que no tienen un respaldo se perderán para siempre.

Parte 2: ¿Cómo funciona Petya Ransomware?

Petya ransomware se expande usando el EternalBlue exploit el cual es una vulnerabilidad que está presente en el sistema operativo de Windows. Además, hace uso de dos herramientas administrativas de Windows para su propagación. Petya trata de infectar el sistema utilizando primero la vulnerabilidad y si falla en ese intento, entonces vuelve a la herramienta de administración. Este método dual de propagación hace que Petya un programa malintencionado más formidable que otros que han surgido alrededor del mundo últimamente. Después de haber infectado un ordenador, el programa malicioso trata de expandirse a otros ordenadores que estén en la misma red.

Una vez que infecta el sistema, Petya inmediatamente mejora y comienza a encriptar los archivos presentes en el sistema. Si no es detenido, bloquea completamente el sistema y hace que todos los archivos sean inaccesibles. Una vez este proceso es completado, una nota de rescate aparece en la pantalla del usuario pidiéndole depositar 300$ en la forma de Bitcoin. Hay una dirección de Bitcoin que se provee a las víctimas en donde necesitan depositar la cantidad del rescate. Una dirección de email también es provista para comunicarse con los perpetadores del ataque, la cual es usada para obtener la llave digital para desbloquear los archivos encriptados en el sistema infectado después de que la cantidad del rescate es cancelada.

Parte 3: ¿Cómo puede ser detenido?

Petya puede ser detenido al descargar un patch publicado por Microsoft que protege el ordenador de la vulnerabilidad EternalBlue. Este patch es automáticamente descargado e instalado en ordenadores que están usando una versión registrada de Windows y tienen la opción de actualizaciones automáticas activadas en ellos. Para ordenadores usando una versión no registrada, sin embargo, la instalación de este patch requiere descargarla del sitio de Microsoft y luego se instalarla de forma manual. Además, programas de anti-virus como Symantec y Kaspersky han sido actualizados para detectar este programa malicioso e inclusive proteger los archivos de ser encriptados. Así, instalando una versión actualizada de estos programas de antivirus puede también ayudarte a detener a Petya de infectar tu ordenador.

Adicionalmente al patch de Windows y actualizaciones de antivirus, otra medida de defensa que ha sido identificada para esta versión particular de Petya es la presencia de un archivo solo de lectura con el nombre de C:\Windows\perfc.dat en el sistema del ordenador. Si este archivo está presente en tu ordenador, Petya no será capaz de encriptar los archivos en tu sistema. Sin embargo, ten en cuenta que el tener este archivo no detendrá al programa malicioso de expandirse a otros ordenadores que compartan la misma red de tu ordenador.

Parte 4: ¿Qué deberías hacer si eres afectado por Ransomware?

Si pasas a ser una víctima de este ransomware, tu primera acción debe ser apagar tu ordenador inmediatamente. Petya comienza el proceso de encriptado después de reiniciar el sistema bajo una serie de procedimientos chkdsk. Entonces, si ves una operación de chkdsk ejecutándose en tu PC después de un reinicio, al apagarlo de forma inmediata impides que el programa malicioso encripte tu sistema.

Si el ransomware muestra la nota de rescate después del reinicio, no debes pensar, bajo ninguna circunstancia, pagar por la cantidad de rescate. La razón es que la dirección de email que te ha sido provista que se supone te enviará la llave digital para desbloquear el sistema ha sido suspendido. Por lo que no podrás ser capaz de obtenerla para descriptar los archivos. La única cosa que puedes hacer en ese escenario es detener la expansión del ransomware a otros ordenadores en la red. Puedes hacer esto desconectando tu PC del internet y reinstalando todos tus archivos de respaldo después de formatear tu disco duro.

Algunas medidas preventivas pueden tomarse para evitar ataques de ransomware como el de Petya, incluyendo respaldar regularmente tus archivos así como actualizar tus programas de antivirus. Además, usar un VPN cuando estás conectado a un Wi-Fi público y evitar abrir archivos adjuntos de email sospechosos son algunos de los métodos que pueden asegurar protección de programas maliciosos como Petya.

De acuerdo con expertos en seguridad, el Petya ransomware está atacando los siguientes sistemas operativos de Microsoft debido a que tienen la vulnerabilidad de EternalBlue.

• Windows 10
• Windows RT 8.1
• Windows 8.1
• Windows 7
• Windows XP
• Windows Vista
• Windows Server 2016
• Windows Server 2012 and Window Server 2012 R2
• Window Server 2008 and Windows Server 2008 R2

Parte 5: ¿Puedes recuperar tus files?

Después del ataque de Petya, reiniciando el equipo puede darte tus archivos de vuelta. Sin embargo, no es una conclusión definitiva. Hay una posibilidad que al reiniciar el ordenador no se recuperen los archivos y que se encripten por el programa. Si enfrentas esta situación entonces la única manera de recuperar nuevamente tus archivos es hacer uso de una herramienta de recuperación de datos. El software de recuperación puede escanear tu ordenador por cualquier archivo borrado o eliminado y puede ayudarte a recuperarlos. Sin embargo, ten en cuenta que no todos los programas de recuperación de datos son capaces de recuperar archivos perdidos. Solo debes hacer uso de una auténtica herramienta de recuperación de datos para este propósito como Wondershare Data Recovery.

El ataque informático de Petya es un ransomware que infecta los sistemas de ordenador que funcionan con el sistema operativo de Windows a través de la vulnerabilidad de EternalBlue. Encripta los archivos presentes en los sistemas infectados y luego se expande hacia otros ordenadores que compartan la misma red. Este ataque informático logró infectar una gran cantidad de compañías en países como Ucrania, Alemania, Rusia y Estados Unidos. Descargando los patches lanzados por Microsoft y usando una versión actualizada de programas de antivirus como Kaspersky y Symantec. Apagar el ordenador durante la infección puede ayudar en detener que el malware de encriptar los archivos del sistema.