Petya, otro ransomware que bloquea la pantalla

Petya, otro ransomware que bloquea la pantalla

Lo habitual es encontrar amenazas que limitan el acceso a los archivos del equipo utilizando el cifrado. Sin embargo, en las últimas semanas es bastante habitual encontrar ransomware que en vez de realizar esta operación bloquea la pantalla para que el usuario no pueda acceder a sus datos. Petya es uno de estos casos que está afectando a usuarios con sistema operativo Windows.

Hay que tener en cuenta que antes de las amenazas que cifran los archivos ya existían aquellas que procedían de esta forma. No es para nada nuevo que los ciberdelincuentes rescaten virus antiguos para infectar los equipos de los usuarios, pero añadiendo la monetización que existe en la actualidad. Esto quiere decir que antes se llevaba a cabo el bloqueo de la pantalla y con eso era más que suficiente, pero ahora y teniendo en cuenta el buen funcionamiento de aquellas que “obligan” a pagar cierta cantidad de dinero para recuperar los archivos cifrados, los propietarios de estas más antiguas han decidido combinar las ideas.

Realmente resultaba algo poco habitual fuera de los dispositivos móviles pero todo parece indicar que nos tendremos que acostumbrar este tipo de amenazas a partir de ahora.

La distribución del ransomware Petya es la habitual que se suele utilizar en estos casos, recurriendo a correos electrónicos cuyo origen se hace creer a los usuarios es el departamento de recursos humanos de una empresa. Dentro de este correo el usuario puede encontrar un enlace a una carpeta del servicio de almacenamiento en la nube Dropbox para descargar un formulario que se debe completar para obtener información sobre el proceso de selección.

El ejecutable de Petya se distribuye como un Word

Tal y como suele suceder en estos casos, los ciberdelincuentes hacen creer al usuario que el documento que se descarga posee una extensión cuando en realidad es otra. En esta caso se trata de un ejecutable con extensión .exe que en caso de ser ejecutado provocará la instalación de la amenaza y su posterior ejecución.

En el siguiente vídeo se puede observar con mucho más detalle lo que sucede si optamos por ejecutar el archivo descargado:

Imagen de previsualización de YouTube

Si no se paga no se libera el equipo

Tal y como suele suceder en la mayoría de los casos y teniendo en cuenta que anteriormente hemos dicho que los propietarios han adquirido el sistema de monetización actual, hasta que el usuario no abone la cantidad solicitada en las instrucciones los ciberdelincuentes no liberarán el equipo. Pero ya se sabe que los expertos en seguridad recomiendan no realizar el pago y no porque no cumplan con su palabra, sino porque de esta forma se está sufragando los gastos de desarrollo de las amenazas y permitiendo que el mercado continúe aumentando.

Ver informacion original al respecto en Fuente:
hqttp://www.redeszone.net/2016/03/26/petya-ransomware-bloquea-la-pantalla/#sthash.yuPX5lBs.dpuf

Actualizacion:

Hashes SHA1 de archivos en cuestion:

39B6D40906C7F7F080E6BEFA93324DDDADCBD9FA
B0C5FAB5D69AFCC7FD013FD7AEF20660BF0077C2
755f2652638f87ab517c608a363c4aefb9dd6a5a

Con ellos se comprueba que ya están controlados tanto por McAfee como por Kaspersky, según informes del Virustotal al respecto.

Se sabe que utiliza un fichero de nombre

application_portfolio-packed.exe

y que su ejecución codifica el MBR del disco duro, impidiendo el acceso normal al mismo …

Y tambien como Bewerbungsmappe-gepackt.exe

MUCHO CUIDADO CON ELLO !!!

saludos

ms, 28-3-2016