Petya (malware)

Petya es un malware de tipo ransomware reportado por la empresa Heise Security. Petya se esparce comotroyano usando el popular sistema de archivos en la nube Dropbox.1 Mientras la mayoría de los malware de secuestro de computadoras selecciona los archivos a encriptar, Petya aumenta el daño potencial al impedir el arranque de la computadora.
Este malware utiliza ingeniería social para convencer a usuarios (o a administradores de redes) de descargar un archivo que al abrirlo se autoextrae y ejecuta el troyano. Al ejecutarse aparece una alerta de Windows. Si el usuario prosigue, Petya se aloja el Registro de arranque principal del la computadora de la víctima, desactiva el modo de inicio seguro de windows y el equipo se reinicia. Al reiniciar, aparecen ventanas de alerta indicando que el equipo ha sido secuestrado y cómo acceder al sitio de los secuestradores para pagar el rescate antes del vencimiento de un plazo de tiempo. Al vencerse el plazo de tiempo, el monto del rescate se duplica.
Los primeros ataques observados ocurrieron en Alemania, con una campaña de mensajes dirigidos a empresas de recursos humanos, donde un candidato incluye un enlace para descargar su currículo desde Dropbox.2Desde su descubrimiento, los antivirus han empezado a actualizarse y la empresa Dropbox eliminó de sus servidores los archivos allí alojados
Acciones mitigantes
o primero que debe hacer una víctima de secuestro de computadora es apagar el equipo, dado que mientras esté prendido, el malware podría encriptar más archivos. Se ha reportado que es posible reiniciar desde otro disco diferente del infectado y recuperar los archivos del disco comprometido. En los sistemas revisados por Heise Security no se observó encriptamiento de archivos, solo del registro de arranque principal.
Gracias a un esfuerzo colectivo, luego de la publicación de los detalles de malware, fueron publicadas dos herramientas claves para rescatar los equipos secuestrados sin pagar el rescate. La primera es un analizador que toma como entrada extractos de archivos que fueron encriptados por Petya y genera una clave similar a la que reciben las víctimas luego de haber pagado rescate. La segunda es un extractor de segmentos que permite generar la entrada para el analizador. La debilidad del mecanismo de encriptamiento usado por este malware permite rescatar los equipos secuestrados. Es previsible que nuevas generaciones de esta malware utilicen un método de encriptamiento más sofisticado