Un grupo de investigadores de la firma de seguridad G DATA ha anunciado el descubrimiento de un nuevo tipo de ransomware, que se encarga de encriptar el disco duro de un ordenador para secuestrar al equipo afectado y pedir un rescate por él. Este nuevo código malicioso ha sido bautizado como Petya y, según los investigadores, es especialmente peligroso por distribuirse a través de correos electrónicos no deseados, que para colmo se hacen pasar por solicitudes de empleo.
El ransomware es una nueva modalidad de virus que está muy de moda y que está teniendo gran auge entre los cibercriminales. En el caso de Petya, el código malicioso realiza una sobrescritura del sector de arranque del disco duro, más conocida como MBR (Master Boot Record), por lo que el sistema operativo se queda en un estado de bloqueo impidiendo su arranque. Los expertos sostienen que Petya se distribuye a través de emails maliciosos. Su objetivo principal son las empresas, ya que el correo llega directamente al Departamento de Recursos Humanos de las compañías haciéndose pasar por el currículum de un candidato interesado en trabajar. Es por esto que se incluye un enlace de Dropbox para descargar, el cual contiene un archivo de presentación donde se extrae el CV del solicitante y una foto falsa. Si el archivo es descargado y ejecutado, es cuando se instala el ransomware.
Como decimos, la URL no apunta a un documento, en realidad descarga un archivo llamado «application_portfolio-packed.exe». En caso de que el fichero llegara a ejecutarse, el ordenador se bloquearía con una pantalla azul. Sería entonces cuando Petya entraría en acción y se haría con el control del proceso de arranque. Cuando el ordenador se reiniciara, la víctima vería un aviso informativo avisándole de que el sistema tiene errores que pueden tardar varias horas en corregirse. En realidad lo que estaría ocurriendo es que se estaría encriptando el disco duro completo. A continuación el afectado vería el mensaje del rescate con la cantidad de dinero que solicitan los cibercriminales para volver a dar acceso al ordenador. Normalmente, el precio del rescate viene a ser de 0,99 bitcoins, el equivalente a unos 400 euros. Para un particular esto no sería demasiado dramático, pero imaginad para una empresa, con millones de archivos y de información valiosa en el interior del disco duro.
Por ahora se sabe que Petya ha infectado a varias empresas alemanas, y como suele ser habitual en este tipo de extorsiones, se comienza en un país o región para después ir extendiéndose a una escala más global. Es por ello, que desde G DATA recomiendan no efectuar ningún pago con el objetivo de evitar que el ransomware se siga propagando. La compañía aconseja tener una copia de los datos del equipo en un lugar seguro para no depender de la máquina y poder recuperar los ficheros en caso de ser víctima del ataque. Lo mejor en estos casos es recurrir a servicios de almacenamiento en la nube, sobre todo para guardar aquella información que sea más sensible.
«Lo mejor en estos casos es recurrir a servicios de almacenamiento en la nube, sobre todo para guardar aquella información que sea más sensible»
Ya me perdonarás que discrepe ámpliamente sobre este último «consejo», por llamarlo de alguna manera.
datos sensibles + nube = estupidez «cum laudem»