RealDroidES

No es Petya, es NotPetya y puede ser peor. Protégete y no pagues

Ayer se confirmaba que el ciberataque mediante WannaCry del pasado 12 de Mayo sólo era el primero de muchos que podrían venir, aprovechando vulnerabilidades similares para introducir un ransomware (programa que cifra los archivos de tu ordenador y pide un rescate económico para darte la clave de descifrado).

Un nuevo ciberataque, del que en principio se culpaba al ransomware Petya, se extendía internacionalmente afectando, según los primeros análisis de ayer de Microsoft, a 12.500 usuarios a lo largo de más de 65 países; entre ellos importantes empresas, bancos, aeropuertos, y hasta centrales nucleares. Sólo que, según han ido pasando las horas, y se han ido efectuando más análisis, se empezó a comprobar que no se trataba de Petya, o una de sus variantes, sino que posiblemente estemos ante algo nuevo; y al estilo del Dr. House cuando diagnosticaba “not lupus” en este caso tenemos que hablar de NotPetya. Y no es una buena noticia.

NotPetya. No paguéis. No vais a recuperar los datos

En el blog de Malwarebytes tenemos un análisis de hace un año de como funcionaba una infección mediante Petya, y un investigador de Karspersky lo identificaba ayer incialmente como culpable. Sin embargo, como os hemos dicho, los últimos análisis indican que en este caso no estaríamos ante Petya, y la propia Karspersky lo confirmaría después dando su veredicto “NotPetya”.

NotPetya puede ser mucho peor, y es que según han seguido los análisis, estaríamos ante algo distinto en realidad a un ransomware donde pagas para rescatar la información que han secuestrado en tu propio ordenador. Algo por lo que, por muy desaconsejable que sea hacerlo, optaron un buen número de damnificados por el ataque de WannaCry, con miles de dolares de ganancias para los atacantes.

Y si os decimos que NotPetya es peor es porque, tal y como recoge The Verge, y publican en CyberScoop, Matt Suiche, fundador de la firma de ciberseguridad Comae, explica en su blog que NotPetya en realidad incluye instrucciones para borrar los archivos; por lo que ya no se trata de que aunque pagues no tengas la seguridad de que vayas a obtener la clave para descifrar los archivos, sino que si se confirma lo que ha encontrado en sus análisis, aunque quisieran, no te podrían ayudar a recuperarlos.

Además hay que sumar que, aunque las víctimas del ciberataque enviaran el dinero solicitado en el rescate, el correo desde el que supuestamente se debería enviar la clave tampoco funciona ya que el servicio que lo proveía lo ha dado de baja (con el rechazo de muchos expertos), por lo que no hay posibilidad de contacto con los atacantes.

Cómo se extiende NotPetya

NotPetya usaría para infectar a otros ordenadores la misma vulnerabilidad que empleó WannaCry, es decir, usaría también el protocolo SMB de Windows, algo que ya habría quedado solucionado gracias al parche que lanzó Microsoft. Sin embargo NotPetya habría empleado una falsa firma de Microsoft.

NotPetya vuelve a usar las vulnerabilidades que silenció la NSA

Este ataque pone de nuevo a agencias de seguridad, como la NSA, en el disparadero, ya que conocían la vulnerabilidad empleada por NotPetya desde hace cinco años, y, no sólo no quisieron avisar en su momento para aprovecharlo y efectuar un espionaje masivo, sino que, cuando perdieron el control de las herramientas que desarrollaron para aprovecharse de ese agujero, tampoco quisieron poner sobre aviso a nadie, a sabiendas del peligro que suponía que esas herramientas y conocimientos se estuvieran difundiendo en ciertos espacios de internet.

Cómo evitar que tu ordenador sea atacado

Con los primeros recuerdos del ciberataque de WannaCry y el kill switch encontrado de forma casual (un dominio sin registrar hacia el que WannaCry lanzaba peticiones desde cada ordenador atacado), que permitió retrasar el ataque dando tiempo a que muchos equipos fueran actualizados, todas las miradas se centraron en la búsqueda de un nuevo “interruptor de apagado” en NotPetya. Pero no existe, o no ha sido encontrado hasta ahora.

Hay una forma de vacunar tu equipo frente a NotPetya

Ha sido el investigador Amit Serper el que ha descubierto que, cuando NotPetya infecta el ordenador inmediatamente busca un archivo llamado perfc en la carpeta C:\Windows, y si ese archivo existe NotPetya no seguirá con su ataque contra el equipo. De forma que con la creación de ese archivo, dándole posteriormente permisos de sólo lectura estaríamos vacunando nuestro PC.

Para crear ese archivo podéis seguir de forma manual los pasos que explican en Genbeta o si no os véis capaces y preferís una forma sencilla podeís descargar desde BleepingComputer un archivo ejecutable creado por Lawrence Abrams que creará de forma sencilla los archivos necesarios.

Cómo actuar en los primeros instantes del ataque

NotPetya fuerza el equipo a reiniciarse igual que lo haría tras un error fatal, mostrando después la pantalla para realizar la reparación de sectores mediante el comando CHDISK, momento en el que cifra la tabla maestra de archivos, bloqueando el acceso al disco, y por lo tanto impidiendo incluso que iniciemos el sistema operativo.

Por ello se recomienda desactivar el reinicio automático en caso de error fatal en los ajustes del sistema para impedir que NotPetya llegue hasta ese punto.

Si no se ha podido impedir que el ataque llegue hasta allí, antes que comience el cifrado de todos los archivos, la recomendación es que se desconecte el ordenador de la electricidad para impedirlo y poder acceder más tarde a ellos e intentar recuperarlos como indica Edward Snowden:

¿Y si NotPetya se sale con la suya?.

Ayer mismo el Centro Criptológico Nacional recomendaba si habías sido víctima del ataque “conservar los ficheros que hubieran sido cifrados por la muestra de ransomware antes de desinfectar la máquina, ya que no es descartable que en un futuro apareciera una herramienta que permitiera descifrar los documentos que se hubieran visto afectados”.

Sin embargo, si los últimos hallazgos se confirman, no dispones de copia de seguridad de los archivos, tu equipo no estaba vacunado, y no has podido frenar la ejecución de NotPetya, hay bastantes posibilidades de que los ficheros no se puedan recuperar.

Aún así han pasado poco más de 24 horas del inicio del ataque por lo que esperamos que puedan surgir nuevas noticias, pero quizás, lo más importante que podemos decir, aparte de vacunar los equipos, y no descargar archivos dudosos, es no pagar por el rescate, ya que parece claro que no serviría en ningún caso para recuperar tus datos.

Seth

Seth

Gatoflauta protestón incorregible, friki en mi tiempo libre, friki en mi tiempo ocupado, y a una cámara pegado. Android, privacidad, obsesiones tecnológicas y políticas, y escritura por desahogo. "Normal" sólo a veces.
Seth