El ransomware Petya cifra tu disco a través de la MFT

Otra vez toca hablar de ransomware, lamentablemente para muchos. Lo que ocurre es que hoy tenemos algo diferente entre manos, pues el ransomware Petya no se centra en cifrar archivos sueltos en tu ordenador (normalmente se escogen las extensiones de archivo consideradas «de valor») sino que te niega directamente el acceso al sistema operativo, cifrando nada menos que la Master File Table o Tabla Maestra de Archivos de Windows (MFT).

Este componente del sistema operativo es el rensponsable del correcto inicio del sistema. Sin él, Windows será incapaz de arrancar.

Tal como informaron hace pocos días en la web Bleeping Computer, donde hay miembros muy activos en la detección y desinfección de cryptoransomware, Petya ha estado siendo distribuído mediante enlaces de Dropbox, enviados a departamentos de Recursos Humanos en empresas medianas y grandes, de momento únicamente en Alemania, aunque pronto aparecerán nuevas variantes en otros países, probablemente.

Acerca del ransomware Petya

Podríamos recibir un archivo infectado con ransomware Petya desde diferentes vías, casi todas relacionadas con técnicas de ingeniería social, mediante email, redes sociales o sistemas de intercambio de archivos. En el caso ya conocido en Alemania, se trataba de un ejecutable con nombre Bewerbungsmappe-gepackt.exe. Un exe siempre debería hacernos pensar de inmediato, pero tampoco podemos confiarnos con otros tipos de archivo como JPG (imágenes) o archivos de medios, como MPEG/MP4, pues podrían estar enmascarados.

Los comandos FixMBR o intentos tradicionales de reparar la tabla de particiones de Windows no servirán en este caso, a pesar de lo que podáis leer en la red. Si no tenéis muchos archivos de valor en el disco, os recomiendo un formateo seguro de la unidad y volver a instalar el sistema operativo.

Aún no se conoce ningún método fácil ni fiable para recuperar los archivos. Si sustituímos la MFT o reparamos el MBR (Registro maestro de arranque) podríamos desbloquear la pantalla inicial del ransomware, pero esto no nos dará acceso directo a los documentos, sino que romperá los vínculos con los mismos y entonces, aunque podamos recuperar muchos de ellos, será una tarea bastante difícil y lenta.

Así es como el ransomware Petya cifra tu disco duro

Al instalarse el malware que lo contiene, Petya sustituirá inmediatamente el MBR (Master Boot Record) original por un loader o «cargador de arranque» malicioso. Inmediatamente después, Petya forzará el reinicio de Windows, para poder aplicar así los cambios y usar el cargador de arranque modificado.

Curioso resulta el intento de engaño al que nos somete, pues veremos como el sistema parece necesitar una comprobación CHKDSK (salud del disco) y se nos avisa de no interrumpir el proceso bajo ningún concepto, por seguridad. Este falso CheckDisk permitirá a Petya cifrar la Master File Table, mientras algunos contemplan la pantalla tranquilamente, pensando que es «algo normal».

El resultado, cuando el proceso termine, será la incapacidad del sistema para arrancar. La MFT estará cifrada y los archivos, inaccesibles (o casi inaccesibles). Otros síntomas que veremos, cuando se complete el proceso, son que el sistema finalizará con una pantalla azul (BSOD) en cada reinicio, además de ser incapaz de arrancar Windows en Modo seguro.

En lugar del cargador de arranque, lo que veremos es una presentación bastante alarmante, con una pantalla que nos informa de que hemos sido infectados, nos da instrucciones precisas sobre el pago por el rescate de los archivos…lo típico en casos de ransomware.

NO hay que pagar, vaya eso por delante pero, si lo hiciéramos, sería en esta misma pantalla (abajo del todo) donde deberíamos escribir la clave de descifrado para desbloquear el disco duro.

Una vez en su web, dentro de una dirección .onion (Darknet podríamos decir) veremos que el precio del rescate es de 0,99 Bitcoins, unos 400 €. Más o menos el precio medio para estas amenazas. Eso sí, para apremiar al usuario a pagar se suelen usar trucos como en este caso: amenazar al usuario con doblar el precio del rescate si no paga a tiempo.

Lo que seguirá, si hacemos caso de las instrucciones dadas por los cibercriminales, es la compra de Bitcoins (paso 2) del proceso y la posterior transferencia de 0,99 BTC al creador del malware (paso 3). Supuestamente, tras recibir la clave de descifrado, la imputaremos y el sistema volverá a la normalidad (paso 4).

Demostración en vídeo del ransomware Petya

Remedios para protegerse de Petya o recuperar archivos

• Aplica la prudencia: si recibes un archivo no solicitado, desconfía. Si es un ejecutable (.BAT, .EXE, .COM, etc) desconfía el doble. En cualquier caso, si desconfías, usa un servicio web como VirusTotal para analizar el archivo y poder obtener más pistas.
• Según he podido observar, hay gente que reporta éxito de la herramienta WinAntiRansom a la hora de frenar este tipo de ataque, mientras otras como Malwarebytes no son capaces de detectarla.

• Si tienes que recuperar archivos de un disco infectado con Petya, aún es teóricamente posible hacerlo, pues lo único que toca el ransomware es la MFT y no los archivos en sí mismos. Herramientas como Minitool Power data Recovery, Pareto (ParetoLogic) o Forensic Explorer podrían ayudarte a recuperar los archivos del disco.

NOTA: Debes tener en cuenta que vas a recuperar los archivos «en bruto», habrán perdido sus propiedades y por tanto sus enlaces naturales, así que la tarea de recuperación será de lo más tedioso, quizá interminable, ya que deberás comprobar los archivos uno a uno para ver su contenido, estando mezclados con miles de archivos pertenecientes al sistema. Haz esto únicamente si tu información tiene un valor irrenunciable.

Conclusiones

Trend Micro lanzó un aviso a los responsables de DropBox, para que se ocuparan de eliminar los documentos maliciosos que aprovechaban su infraestructura cloud, algo que ya han realizado sus responsables:

Nos tomamos muy en serio cualquier indicio de abuso de la plataforma Dropbox y hemos dedicado a nuestro equipo a monitorizar y prevenir usos inapropiados. Aunque este ataque no implica una vulneración de la seguridad de DropBox, hemos investigado el incidente y tomado las medidas oportunas para detener cualquier actividad criminal como esta.