Seguridad

PETYA, el nuevo virus que secuestra el arranque de nuestros PC

VirusTotal, de Google, ¿una herramienta para los ciberdelincuentes?

Te explicamos cómo funciona PETYA, la última gran ciberamenaza detectada, la cual secuestra cualquier ordenador antes incluso de que cargue Windows.

Imagínese encender el ordenador y que en lugar del habitual icono de carga de Windows aparezca una pantalla de color rojo y blanco en la que destella una calavera en su lugar. ¿Tenebroso? Pues, desgraciadamente, es real. Y es que, si el cifrado de archivos y la toma de rehenes no fuera suficiente, los cibercriminales que crean y difunden crypto-ransomware ahora recurren a provocar la pantalla azul de la muerte (BSoD) y a incluir sus notas de petición de rescate al iniciarse el sistema, incluso antes de que se cargue el sistema operativo.

Esta es la rutina de una nueva variante de crypto-ransomware denominado “PETYA”, identificado por Trend Micro. No sólo este malware tiene la posibilidad de sobrescribir el registro de arranque principal, también conocido como registro de arranque maestro (MBR) del sistema afectado con el fin de bloquear el acceso a los usuarios, también es interesante observar que para llegar a las víctimas utiliza un servicio de almacenamiento cloud legítimo (en este caso lo hace a través de Dropbox).

NUEVO VIRUS PETYA

PETYA se distribuye por correo electrónico. Las víctimas reciben un email personalizado que invita a leer una aparente carta o mensaje de negocios en el que un “aspirante” busca un puesto de trabajo en una empresa. Se presentaría a los usuarios con un hipervínculo a un lugar de almacenamiento de Dropbox, que supuestamente permitiría la descarga del currículum vitae (CV) del candidato.

En una de las muestras analizadas, en la carpeta de Dropbox los puntos de enlace contienen dos archivos: un archivo ejecutable autoextraíble, que pretende ser el CV, y las fotos del solicitante. Por supuesto, el archivo descargado no es en realidad un CV, sino más bien un archivo ejecutable de extracción automática que después desencadena la descarga de un troyano en el sistema. El troyano ciega a los programas antivirus instalados antes de la descargar (y ejecutar) el ransomware PETYA.

Cómo funciona PETYA

Una vez ejecutado, PETYA sobrescribe el registro de arranque maestro de todo el disco duro, haciendo que Windows se cuelgue y muestre una pantalla azul. En caso de que el usuario trate de reiniciar su PC, el registro modificado le impedirá la carga de Windows con normalidad y, en cambio, le dará la bienvenida con una calavera ASCII y un ultimátum: pague una cierta cantidad de bitcoins o perderá el acceso a sus archivos y al equipo.

NUEVO VIRUS PETYA

Acto seguido, el usuario recibe instrucciones explícitas sobre cómo hacer el pago, al igual que cualquier crypto-ransomware que esté circulando en la actualidad: una lista de demandas, un enlace a Tor Projecty cómo llegar a la página de pago a través de él, y un código de descifrado personal.

431 dólares por el rescate

El precio de rescate se encuentra actualmente en 0,99 Bitcoin (BTC), o 431 dólares, y que dicho precio podría duplicarse si se agota el plazo indicado en la pantalla.

Sobre el autor de este artículo

Alberto Iglesias Fraga

Periodista especializado en tecnología e innovación que ha dejado su impronta en medios como TICbeat, El Mundo, ComputerWorld, CIO España, Kelisto, Todrone, Movilonia, iPhonizate o el blog Think Big de Telefónica, entre otros. También ha sido consultor de comunicación en Indie PR. Ganador del XVI Premio Accenture de Periodismo y Finalista en los European Digital Mindset Awards 2016.

  • karen

    Hola, mira que varios de mis contactos en facebook me envian un link diciendo visitas a mi nombre aparece dropbox user content. Como hago para dejar de recibir eso? , mi computador es el infectado o es el de ellos? Gracias