Descubren un nuevo malware del tipo Ransomware llamado Petya que cifra el disco duro del sistema y solo se puede acceder a los datos del mismo pagando por la llave para descifrar el disco. La buena noticia, si es que podemos llamarla buena, es que este ransomware solo tiene éxito si es ayudado directamente por la víctima que debe de ejecutar el software maligno, cosa que sabemos puede suceder.
La firma de seguridad G Data comenta en su blog que la campaña del ataque está dirigida directamente a empresas y más precisamente a los departamentos de relaciones humanas, ya que en un email enviado por un aparente interesado en un empleo ofrecido por la empresa, incluyen instrucciones para descargar su Curriculum Vitae de Dropbox.
Cuando la víctima sigue el enlace, se descarga un fichero ejecutable cuyo título está en alemán (en español el título del fichero sería aplicación_portafolio-comprimido.exe’). Si el fichero es ejecutado, aparece una pantalla azul y el sistema se reinicia por si solo, no sin antes modificar el MBR (Master Boot Record) para permitir que el ransomware Petya controle el proceso de reinicio. Luego cuando el sistema reinicia muestra un mensaje que dice que está reparando el Disco C y luego de un rato muestra la pantalla que ven en portada.
Luego le sigue otra pantalla con instrucciones sobre cómo descifrar el Disco C, que indica que el usuario debe de descargar TOR, entrar en la Dark Web y comprar la llave para descifrar el disco. Posteriormente deben de entrar al sitio de los cibercriminales para continuar con el proceso de descifrado, en el cual verán lo siguiente:
La firma de seguridad G Data recomienda que las empresas tengan un respaldo del disco actualizado, solo así no se verán en la obligación de pagar la suma de dinero del rescate, ya que podrán restaurar la copia.