Ayer se volvió a producir un ataque de ransomware similar al que ya nos hizo temblar con WannaCry hace pocas semanas. En esta ocasión el responsable fue el llamado NotPetya, un malware que guardaba algunas similitudes con un ransomware del año pasado pero que en realidad actuaba de forma distinta.
El ciberataque ha hecho estragos sobre todo en Ucrania, pero se ha propagado a varios países occidentales como España. Un análisis del mismo nos permite conocer cómo está actuando NotPetya, y aunque en ciertos casos es posible recuperar los datos si actuamos a tiempo, el consejo para evitar el caos es siempre el mismo: tener actualizado el sistema operativo y, cómo no, realizar copias de seguridad regularmente.
Un ransomware que no va (necesariamente) a por nuestro dinero
Como explican en The Register, aunque este ransomware pide un rescate de 300 dólares a ingresar en una cartera bitcoin, la motivación tras el ataque parece muy distinta. Por ejemplo, no cifra archivos PNG, y se centra en archivos con extensiones de lenguajes de programación como los de Python, Visual Basic, algo que explicaba el experto en seguridad the grugq.
Uno de los orígenes del problema parece haber sido el software de contabilidad MeDoc que se usa de forma masiva en empresas y gobiernos ucranianos.
El malware hace uso además de vectores de infección como el exploit EternalBlue que se usó también en WannaCry, además de otro exploit llamado EternalRomance que hace uso del puerto TCP 445 o de herramientas como psexec (para ejecutar comandos en esas máquinas a las que se va conectando).
Todas estas vulnerabilidades (EternalBlue y EternalRomance, robadas y filtradas por la NSA, fueron parcheadas por Microsoft hace meses con el parche MS17-010) se aprovechan para infectar a las máquinas y luego propagarse por redes locales de forma similar a como lo hacía WannaCry. NotPetya curiosamente no trata de ganar privilegios de administrador, y aprovecha la estructura "plana" de muchas redes empresariales en las que un administrador en un extremo de la red puede lograr acceso total en el resto de máquinas de la red.
Cómo detener a NotPetya: existe kill-switch
Según los análisis de este ransomware, entre 10 y 60 minutos después de la infección el ordenador afectado nos fuerza a reiniciarlo, y al hacerlo aparece una pantalla que imita la del chequeo de disco (CHKDSK) que aunque parece que está haciendo eso en realidad está cifrando diversos archivos de nuestro equipo.
Una de las primeras medidas si nos vemos afectados por el problema es precisamente apagar el ordenador de buenas a primeras si vemos esa pantalla de chequeo de disco. Eso nos permitirá recuperar los ficheros que no hayan sido cifrados si iniciamos el ordenador con un CD o un USB de recuperación, como por ejemplo un Live USB con Ubuntu que dé acceso al sistema de ficheros Windows para rescatar esos ficheros a un dispositivo de almacenamiento externo.
98% sure that the name is is perfc.dll Create a file in c:\windows called perfc with no extension and #petya #Nopetya won't run! SHARE!! https://t.co/0l14uwb0p9
— Amit Serper (@0xAmit) June 27, 2017
Un experto de seguridad llamado Amit Serper ha descubierto una teórica forma de evitar la infección: el 'kill-switch' consiste en la creación de un fichero de solo lectura en la carpeta C:\Windows\ que tendremos que llamar "perfc" (sin extensión). Según sus pruebas, el malware escanea esa unidad y si encuentra ese fichero no lo infecta.
Aprendiendo la lección (una vez más): copias de seguridad y actualizaciones frecuentes
El ransomware WannaCry ya hizo que muchos tomaran conciencia de lo importante que es mantener sus sistemas operativos, aplicaciones y servicios actualizados para evitar que diversos ciberataques aprovechen potenciales agujeros de seguridad en estos sistemas.
Esa medida se suma a otra igualmente importante: la realización de copias de seguridad frecuentes que al menos pongan a salvo archivos importantes en localizaciones seguras (en la nube o en sistemas de almacenamiento externo).
Es cierto que no siempre es posible para las empresas aplicar las actualizaciones de seguridad lo rápido que deberían, pero aún así algo debe cambiar en la mentalidad de dichas empresas. Los procesos de validación de esas actualizaciones son largos e implican garantizar que las aplicaciones críticas de la empresa no se ven afectadas, pero estos últimos ciberataques dejan claro el coste que puede llegar a tener que asumir una empresa que de repente debe apagar todos sus sistemas para hacer frente a estos ransomware.
En el caso de usuarios finales estos obstáculos no existen, así que os recomendamos hacer uso de esos dos métodos y ganar un poco de tranquilidad. Un disco duro externo de 4 TB cuesta apenas 100 euros, y cualquier ataque de este tipo suele pedir entre 300 y 600 dólares sin que haya garantía total de que nos dén la clave de descifrado que bloqueaba el acceso a nuestros archivos. No parece mala inversión recurrir a una unidad externa o al almacenamiento en la nube, ¿no os parece?
En Xataka | ¿Cuál es la diferencia: malware, virus, gusanos, spyware, troyanos, ransomware, etcétera?