Los virus Petya y Misha amenazan los datos de los usuarios. El nuevo virus de cifrado Petya lleva el nombre del presidente de Ucrania: experto en instantáneas de volúmenes

Derechos de autor de la ilustración Pensilvania Captura de imagen Según los expertos, combatir el nuevo ransomware es más difícil que WannaCry

El 27 de junio, el ransomware bloqueó computadoras y cifró archivos en docenas de empresas en todo el mundo.

Se informa que las empresas ucranianas fueron las que más sufrieron: el virus infectó los ordenadores de grandes empresas, agencias gubernamentales e instalaciones de infraestructura.

El virus exige 300 dólares en Bitcoin a las víctimas para descifrar archivos.

El servicio ruso de la BBC responde a las principales preguntas sobre la nueva amenaza.

¿Quién resultó herido?

La propagación del virus comenzó en Ucrania. Los afectados fueron el aeropuerto de Boryspil, algunas divisiones regionales de Ukrenergo, cadenas de tiendas, bancos, medios de comunicación y empresas de telecomunicaciones. También se averiaron los ordenadores del gobierno ucraniano.

Después de esto, fue el turno de las empresas en Rusia: Rosneft, Bashneft, Mondelеz International, Mars, Nivea y otras también fueron víctimas del virus.

¿Cómo actúa el virus?

Los expertos aún no han llegado a un consenso sobre el origen del nuevo virus. Group-IB y Positive Technologies lo ven como una variante del virus Petya de 2016.

"Este ransomware utiliza métodos y utilidades de piratas informáticos, así como utilidades estándar de administración del sistema", comenta Elmar Nabigaev, jefe del departamento de respuesta a amenazas de seguridad de la información en Positive Technologies. "Todo esto garantiza una alta velocidad de propagación dentro de la red y la masividad. de la epidemia en su conjunto (si se infecta al menos un ordenador personal, el resultado es una completa inoperancia del ordenador y el cifrado de los datos).

La empresa rumana Bitdefender ve más en común con el virus GoldenEye, en el que Petya se combina con otro malware llamado Misha. La ventaja de este último es que no requiere derechos de administrador de la futura víctima para cifrar archivos, sino que los extrae de forma independiente.

Brian Campbell de Fujitsu y otros expertos creen que el nuevo virus utiliza un programa EternalBlue modificado robado de la Agencia de Seguridad Nacional de Estados Unidos.

Después de la publicación de este programa por parte de los hackers The Shadow Brokers en abril de 2017, el virus ransomware WannaCry creado sobre su base se extendió por todo el mundo.

Aprovechando las vulnerabilidades de Windows, este programa permite que el virus se propague a los ordenadores de la red corporativa. El Petya original fue enviado por correo electrónico bajo la apariencia de un currículum y sólo podía infectar la computadora donde se abrió el currículum.

Kaspersky Lab dijo a Interfax que el virus ransomware no pertenece a familias de software malicioso conocidas anteriormente.

"Los productos de software de Kaspersky Lab detectan este malware como UDS:DangeroundObject.Multi.Generic", señaló Vyacheslav Zakorzhevsky, jefe del departamento de investigación antivirus de Kaspersky Lab.

En general, si llamamos al nuevo virus por su nombre ruso, debemos tener en cuenta que en apariencia se parece más al monstruo de Frankenstein, ya que está formado por varios programas maliciosos. Se sabe con certeza que el virus nació el 18 de junio de 2017.

¿Más genial que WannaCry?

WannaCry tardó solo unos días en mayo de 2017 en convertirse en el mayor ciberataque de este tipo en la historia. ¿Superará el nuevo virus ransomware a su reciente predecesor?

En menos de un día, los atacantes recibieron de sus víctimas 2,1 bitcoins, unos 5.000 dólares. WannaCry recolectó 7 bitcoins durante el mismo período.

Al mismo tiempo, según Elmar Nabigaev de Positive Technologies, combatir el nuevo ransomware es más difícil.

"Además de explotar [la vulnerabilidad de Windows], esta amenaza también se propaga a través de cuentas del sistema operativo robadas mediante herramientas especiales de piratería", señaló el experto.

¿Cómo combatir el virus?

Como medida preventiva, los expertos recomiendan instalar a tiempo las actualizaciones de los sistemas operativos y comprobar los archivos recibidos por correo electrónico.

Se recomienda a los administradores avanzados que deshabiliten temporalmente el protocolo de transferencia de red del Bloque de mensajes del servidor (SMB).

Si sus computadoras están infectadas, bajo ninguna circunstancia debe pagar a los atacantes. No hay garantía de que una vez que reciban el pago, descifren los archivos en lugar de exigir más.

Sólo queda esperar al programa de descifrado: en el caso de WannaCry, Adrien Guinier, especialista de la empresa francesa Quarkslab, tardó una semana en crearlo.

El primer ransomware contra el SIDA (PC Cyborg) fue escrito por el biólogo Joseph Popp en 1989. Ocultó directorios y archivos cifrados, exigiendo el pago de 189 dólares por" renovación de licencia" a una cuenta en Panamá. Popp distribuyó su creación mediante disquetes por correo postal, totalizando unas 20 milyateenvíos. Popp fue detenido mientras intentaba cobrar un cheque, pero evitó el juicio; en 1991 fue declarado loco.

A principios de mayo, unos 230.000 ordenadores en más de 150 países estaban infectados con un virus ransomware. Antes de que las víctimas tuvieran tiempo de eliminar las consecuencias de este ataque, siguió uno nuevo, llamado Petya. Las mayores empresas ucranianas y rusas, así como las instituciones gubernamentales, sufrieron esto.

La policía cibernética de Ucrania determinó que el ataque del virus comenzó a través del mecanismo de actualización del software de contabilidad M.E.Doc, que se utiliza para preparar y enviar informes fiscales. Así se supo que las redes de Bashneft, Rosneft, Zaporozhyeoblenergo, Dneproenergo y Dnieper Electric Power System no escaparon a la infección. En Ucrania, el virus penetró en los ordenadores gubernamentales, en los del metro de Kiev, en los operadores de telecomunicaciones e incluso en la central nuclear de Chernóbil. En Rusia, Mondelez International, Mars y Nivea se vieron afectadas.

El virus Petya aprovecha la vulnerabilidad EternalBlue en el sistema operativo Windows. Los expertos de Symantec y F-Secure dicen que, aunque Petya cifra datos como WannaCry, sigue siendo algo diferente de otros tipos de virus de cifrado. "El virus Petya es un nuevo tipo de extorsión con intenciones maliciosas: no solo cifra los archivos en el disco, sino que bloquea todo el disco, haciéndolo prácticamente inutilizable", explica F-Secure. "Específicamente, cifra la tabla de archivos maestros MFT".

¿Cómo sucede esto y se puede prevenir este proceso?

Virus "Petya": ¿cómo funciona?

El virus Petya también se conoce con otros nombres: Petya.A, PetrWrap, NotPetya, ExPetr. Una vez que ingresa a la computadora, descarga ransomware de Internet e intenta atacar parte del disco duro con los datos necesarios para iniciar la computadora. Si tiene éxito, el sistema emite una Pantalla Azul de la Muerte (“pantalla azul de la muerte”). Después del reinicio, aparece un mensaje sobre la verificación del disco duro y le solicita que no apague la alimentación. Por lo tanto, el virus de cifrado pretende ser un programa de escaneo del disco del sistema, cifrando archivos con ciertas extensiones al mismo tiempo. Al final del proceso aparece un mensaje indicando que el ordenador está bloqueado e información sobre cómo obtener una clave digital para descifrar los datos. El virus Petya exige un rescate, normalmente en Bitcoin. Si la víctima no tiene una copia de seguridad de sus archivos, se enfrenta a la opción de pagar 300 dólares o perder toda la información. Según algunos analistas, el virus sólo se hace pasar por ransomware, cuando su verdadero objetivo es causar daños masivos.

¿Cómo deshacerse de Petya?

Los expertos han descubierto que el virus Petya busca un archivo local y, si este archivo ya existe en el disco, sale del proceso de cifrado. Esto significa que los usuarios pueden proteger su computadora del ransomware creando este archivo y configurándolo como de solo lectura.

Aunque este astuto plan evita que se inicie el proceso de extorsión, este método puede considerarse más bien como una “vacunación informática”. Por lo tanto, el usuario deberá crear el archivo él mismo. Puedes hacer esto de la siguiente manera:

• Primero necesitas entender la extensión del archivo. En la ventana Opciones de carpeta, asegúrese de que la casilla Ocultar extensiones para tipos de archivos conocidos no esté marcada.
• Abra la carpeta C:\Windows, desplácese hacia abajo hasta que vea el programa notepad.exe.
• Haga clic izquierdo en notepad.exe, luego presione Ctrl + C para copiar y luego Ctrl + V para pegar el archivo. Recibirá una solicitud solicitando permiso para copiar el archivo.
• Haga clic en el botón Continuar y el archivo se creará como un bloc de notas: Copy.exe. Haga clic izquierdo en este archivo y presione F2, luego borre el nombre del archivo Copy.exe e ingrese perfc.
• Después de cambiar el nombre del archivo a perfc, presione Entrar. Confirma el cambio de nombre.
• Ahora que se ha creado el archivo perfc, debemos hacerlo de solo lectura. Para hacer esto, haga clic derecho en el archivo y seleccione "Propiedades".
• Se abrirá el menú de propiedades de este archivo. En la parte inferior verá "Solo lectura". Revisa la caja.
• Ahora haga clic en el botón Aplicar y luego en el botón Aceptar.

Algunos expertos en seguridad sugieren crear archivos C:\Windows\perfc.dat y C:\Windows\perfc.dll además del archivo C:\windows\perfc para una protección más completa contra el virus Petya. Puede repetir los pasos anteriores para estos archivos.

¡Felicitaciones, su computadora está protegida contra NotPetya/Petya!

Los expertos de Symantec ofrecen algunos consejos a los usuarios de PC para evitar que hagan cosas que podrían provocar el bloqueo de archivos o la pérdida de dinero.

1. No pagues dinero a los delincuentes. Incluso si transfiere dinero al ransomware, no hay garantía de que pueda recuperar el acceso a sus archivos. Y en el caso de NotPetya / Petya, esto básicamente no tiene sentido, porque el objetivo del ransomware es destruir datos y no obtener dinero.
2. Asegúrese de hacer una copia de seguridad de sus datos con regularidad. En este caso, incluso si su PC se convierte en el objetivo de un ataque de virus ransomware, podrá recuperar cualquier archivo eliminado.
3. No abra correos electrónicos de direcciones cuestionables. Los atacantes intentarán engañarlo para que instale malware o intentarán obtener datos importantes para los ataques. Asegúrese de informar a los especialistas de TI si usted o sus empleados reciben correos electrónicos o enlaces sospechosos.
4. Utilice software confiable. La actualización oportuna de los programas antivirus juega un papel importante en la protección de las computadoras contra infecciones. Y, por supuesto, es necesario utilizar productos de empresas acreditadas en este campo.
5. Utilice mecanismos para escanear y bloquear mensajes de spam. Los correos electrónicos entrantes deben analizarse en busca de amenazas. Es importante bloquear cualquier tipo de mensaje que contenga enlaces o palabras clave típicas de phishing en su texto.
6. Asegúrese de que todos los programas estén actualizados. Es necesario corregir periódicamente las vulnerabilidades del software para prevenir infecciones.

¿Deberíamos esperar nuevos ataques?

El virus Petya apareció por primera vez en marzo de 2016 y los especialistas en seguridad notaron inmediatamente su comportamiento. El nuevo virus Petya infectó ordenadores en Ucrania y Rusia a finales de junio de 2017. Pero es poco probable que este sea el final. Los ataques de piratas informáticos que utilizan virus ransomware similares a Petya y WannaCry se repetirán, afirmó Stanislav Kuznetsov, vicepresidente de la junta directiva de Sberbank. En una entrevista con TASS, advirtió que tales ataques definitivamente ocurrirán, pero es difícil predecir de antemano en qué forma y formato podrían aparecer.

Si, después de todos los ciberataques que han ocurrido, aún no has tomado al menos los pasos mínimos para proteger tu computadora de un virus ransomware, entonces es hora de tomarlo en serio.

Los virus son una parte integral del ecosistema del sistema operativo. En la mayoría de los casos estamos hablando de Windows y Android, y si tienes mucha mala suerte, de OS X y Linux. Además, si antes los virus masivos tenían como único objetivo robar datos personales y, en la mayoría de los casos, simplemente dañar archivos, ahora los cifradores “manejan la batuta”.

Y esto no es sorprendente: la potencia informática tanto de las PC como de los teléfonos inteligentes ha crecido como una avalancha, lo que significa que el hardware para tales "bromas" es cada vez más poderoso.

Hace algún tiempo, los expertos descubrieron el virus Petya. G DATA SecurityLabs descubrió que el virus requiere acceso administrativo al sistema y no cifra archivos, solo bloquea el acceso a ellos. Hoy en día ya existen remedios de Petya (Win32.Trojan-Ransom.Petya.A‘). El virus mismo modifica el registro de arranque en la unidad del sistema y hace que la computadora falle, mostrando un mensaje sobre corrupción de datos en el disco. De hecho, esto es sólo cifrado.

Los desarrolladores de malware exigieron un pago para restablecer el acceso.

Sin embargo, hoy, además del virus Petya, ha aparecido uno aún más sofisticado: Misha. No necesita derechos administrativos y cifra datos como el ransomware clásico, creando archivos YOUR_FILES_ARE_ENCRYPTED.HTML y YOUR_FILES_ARE_ENCRYPTED.TXT en el disco o carpeta con datos cifrados. Contienen instrucciones sobre cómo obtener la clave, que cuesta aproximadamente 875 dólares.

Es importante tener en cuenta que la infección se produce a través del correo electrónico, que recibe un archivo exe con virus, disfrazado de documento pdf. Y aquí queda recordarlo nuevamente: revise cuidadosamente las cartas con archivos adjuntos y también trate de no descargar documentos de Internet, ya que ahora se puede incrustar un virus o una macro maliciosa en un archivo doc o una página web.

También observamos que hasta el momento no existen utilidades para descifrar el "trabajo" del virus Misha.

El martes 27 de junio, empresas ucranianas y rusas informaron de un ataque masivo de virus: en los ordenadores de las empresas se mostraba un mensaje de rescate. Descubrí quién sufrió una vez más a causa de los piratas informáticos y cómo protegerse del robo de datos importantes.

Petya, ya es suficiente.

El sector energético fue el primero en ser atacado: las empresas ucranianas Ukrenergo y Kyivenergo se quejaron del virus. Los atacantes paralizaron sus sistemas informáticos, pero esto no afectó a la estabilidad de las centrales eléctricas.

Los ucranianos comenzaron a publicar en Internet las consecuencias de la infección: a juzgar por numerosas imágenes, los ordenadores fueron atacados por un virus ransomware. Apareció un mensaje en la pantalla de los dispositivos afectados indicando que todos los datos estaban cifrados y que los propietarios del dispositivo debían pagar un rescate de 300 dólares en Bitcoin. Sin embargo, los piratas informáticos no dijeron qué pasaría con la información en caso de inacción y ni siquiera pusieron un cronómetro hasta que los datos fueran destruidos, como fue el caso del ataque del virus WannaCry.

El Banco Nacional de Ucrania (BNU) informó que el trabajo de varios bancos quedó parcialmente paralizado debido al virus. Según los medios ucranianos, el ataque afectó a las oficinas de Oschadbank, Ukrsotsbank, Ukrgasbank y PrivatBank.

Se infectaron las redes informáticas de Ukrtelecom, el aeropuerto de Boryspil, Ukrposhta, Nova Poshta, Kievvodokanal y el metro de Kiev. Además, el virus afectó a los operadores móviles ucranianos: Kyivstar, Vodafone y Lifecell.

Más tarde, los medios ucranianos aclararon que estamos hablando del malware Petya.A. Se distribuye según el esquema habitual entre los piratas informáticos: las víctimas reciben correos electrónicos de phishing de tontos pidiéndoles que abran un enlace adjunto. Después de esto, el virus penetra en el ordenador, cifra los archivos y exige un rescate por descifrarlos.

Los piratas informáticos indicaron el número de su billetera Bitcoin al que debía transferirse el dinero. A juzgar por la información de la transacción, las víctimas ya transfirieron 1,2 bitcoins (más de 168 mil rublos).

Según los especialistas en seguridad de la información del Grupo-IB, más de 80 empresas se vieron afectadas por el ataque. El jefe de su laboratorio criminalístico señaló que el virus no está relacionado con WannaCry. Para solucionar el problema, recomendó cerrar los puertos TCP 1024–1035, 135 y 445.

quien es culpable

Se apresuró a suponer que el ataque fue organizado desde el territorio de Rusia o Donbass, pero no aportó ninguna prueba. Ministro de Infraestructura de Ucrania sierra pista en la palabra “virus” y escribió en su Facebook que “no es coincidencia que termine en RUS”, añadiendo un emoticón de guiño a su suposición.

Mientras tanto, afirma que el ataque no tiene ninguna relación con el "malware" existente conocido como Petya y Mischa. Los expertos en seguridad afirman que la nueva ola ha afectado no sólo a empresas ucranianas y rusas, sino también a empresas de otros países.

Sin embargo, la interfaz del actual "malware" se parece al conocido virus Petya, que se distribuyó a través de enlaces de phishing hace unos años. A finales de diciembre, un hacker desconocido responsable de crear el ransomware Petya y Mischa comenzó a enviar correos electrónicos infectados con un virus adjunto llamado GoldenEye, que era idéntico a las versiones anteriores del ransomware.

El archivo adjunto a la carta regular, que a menudo recibían los empleados del departamento de recursos humanos, contenía información sobre el candidato falso. En uno de los archivos se podía encontrar un currículum y en el siguiente, el instalador del virus. En aquel entonces, los principales objetivos del atacante eran empresas de Alemania. En el transcurso de 24 horas, más de 160 empleados de la empresa alemana cayeron en la trampa.

No fue posible identificar al hacker, pero es obvio que es un fanático de Bond. Los programas Petya y Mischa son los nombres de los satélites rusos “Petya” y “Misha” de la película “Golden Eye”, que en la trama eran armas electromagnéticas.

La versión original de Petya comenzó a distribuirse activamente en abril de 2016. Se camuflaba hábilmente en los ordenadores y se hacía pasar por programas legítimos, solicitando derechos de administrador ampliados. Después de la activación, el programa se comportó de manera extremadamente agresiva: fijó un plazo estricto para pagar el rescate, exigió 1,3 bitcoins y, una vez transcurrido el plazo, duplicó la compensación monetaria.

Sin embargo, uno de los usuarios de Twitter encontró rápidamente las debilidades del ransomware y creó un programa simple que, en siete segundos, generaba una clave que permitía desbloquear la computadora y descifrar todos los datos sin ninguna consecuencia.

No para la primera vez

A mediados de mayo, ordenadores de todo el mundo fueron atacados por un virus ransomware similar, WannaCrypt0r 2.0, también conocido como WannaCry. En apenas unas horas, paralizó cientos de miles de dispositivos Windows en más de 70 países. Entre las víctimas se encontraban las fuerzas de seguridad rusas, bancos y operadores de telefonía móvil. Una vez en la computadora de la víctima, el virus cifró el disco duro y exigió que los atacantes enviaran 300 dólares en bitcoins. Se asignaron tres días para la reflexión, después de lo cual se duplicó la cantidad y, después de una semana, los archivos se cifraron para siempre.

Sin embargo, las víctimas no tenían prisa por pagar el rescate y los creadores del malware