Petya no es un Ransomware, es un Wiper destructivo

0
1223
views

Los ataques de Petya que comenzaron a infectar computadoras en varios países, como; Rusia, Ucrania, Francia, India y Estados Unidos, también con demandas de rescate de 300 bitcoins no fueron diseñados con la intención de restaurar las computadoras.

El virus fue diseñado para parecerse a ransomware, pero fue un malware de limpieza que elimina completamente los archivos de las computadoras, destruyendo todos los registros de los sistemas.

El fundador de Comae Technologies, Matt Suiche, observó el funcionamiento del malware, después de analizar el virus, conocido como Petya, descifró que realmente se trataba de un “malware Wiper”, no de un variante de ransomware.

Los expertos en seguridad creen que el verdadero ataque ha sido disfrazado para desviar la atención del mundo de un ataque a Ucrania a un esparcimiento de malware.

“Creemos que Petya era un señuelo para controlar los medios de comunicación, especialmente después del ataque de WannaCry, para atraer la atención en algún misterioso grupo de hackers en lugar de un atacante estatal-nacional”, dijo Suiche.

¿Es Petya un Ransomware defectuoso o demasiado inteligente?

Petya es un ransomware que funciona de una manera diferente de cualquier otro malware. No cifra archivos en un sistema de destino uno por uno.

El Ransomware reinicia las computadoras de las víctimas y cifra la tabla de archivos maestros (MFT/Master File Table) del disco duro, dañando el registro de arranque maestro (MBR/Master Boot Record), restringiendo el acceso al sistema completo aprovechando la información sobre nombres de archivos y ubicación en el disco físico.

Reemplaza el MBR de la computadora con su propio código malicioso que muestra la nota de rescate y deja los equipos incapaces de arrancar

Sin embargo, esta nueva variante de Petya no mantiene una copia del MBR sustituido, dejando a los equipos infectados, no pueden hacer reboot incluso si las víctimas obtienen las claves de descifrado.

Además, después de infectar una computadora, el ransomware de Petya explora la red local e infecta de una manera muy rápida a todas las demás (incluso totalmente parcheadas) en la misma red, utilizando las herramientas EternalBlue SMB exploit, WMIC y PSEXEC.

Hasta ahora, casi 45 víctimas ya han pagado un total de 10,500 dólares en Bitcoins con la esperanza de recuperar sus archivos bloqueados, pero desafortunadamente, no los recuperarán.

Es porque la dirección de correo electrónico, que estaba siendo configurada por los hackers para comunicarse con las víctimas y enviar claves de desbloqueo, fue suspendida por el proveedor alemán poco después del ataque.

Es decir, incluso si las víctimas pagan el rescate, nunca recuperarán sus archivos.

Si las investigaciones por los expertos son ciertas, Petya es un malware destructivo diseñado para apagar e interrumpir servicios en todo el mundo, si es así, el malware ha realizado con éxito su trabajo.

¿Cómo llegó Petya a las computadoras en el primer lugar?

Según una investigación realizada por Talos Intelligence, la desconocida empresa ucraniana MeDoc es probablemente la fuente principal del esparcimiento mundial de Petya.

Los investigadores dijeron que el virus posiblemente se ha propagado a través de una actualización de un software malicioso a un sistema de contabilidad de impuestos llamado MeDoc, aunque MeDoc ha negado las acusaciones en un largo post de Facebook.

Sin embargo, varios investigadores de seguridad e incluso Microsoft estuvieron de acuerdo con el hallazgo de Talo, diciendo que MeDoc fue hackeado y el virus se propagó a través de actualizaciones.

 

 

 

Toda la información proporcionada en este medio es para fines educativos, en ningún caso alguno se hace responsable e cualquier mal uso de la información. Toda la información es para el desarrollo e investigación de métodos de seguridad informática.

No olvides visitar nuestra hacking shop

shop