NO N’APRENEM

Petya (diminutiu rus de Pere) es el nou Ransomware que provoca drames arreu del món

No han passat ni dos mesos des de que Wannacry fes tremolar a moltes de les grans companyies de tot el món quan un altre Ransomware similar torna a atacar.

Tot indica que aquest nou atac s’està reproduint a una gran velocitat per tot el món, tot i que de moment Ucrania sembla ser el país mes afectat. Petya actua de forma molt similar a Wannacry, de fet fa ús del mateix exploit conegut com a ETERNALBLUE.

També han aparegut casos d’afectats a Espanya.

Imatge de Petya demanant el rescat:

El missatge es clar:

“Si veus aquest text, els teus arxius ja no són accessibles perquè han sigut xifrats. Potser estàs ocupat buscant la manera de recuperar els teus arxius però, no malgastis el teu temps. Ningú pot recuperar els teus arxius sense el nostre servei de desxifrat”

Tal i com passava amb el Wannacry, el virus xifra arxius importants del usuari i mostra un missatge en el que sol·licita un rescat per la recuperació dels mateixos. La llista de extensions xifrades es molt amplia:

.3ds .7z .accdb .ai .asp .aspx .avhd .back .bak .c .cfg .conf .cpp .cs
.ctl .dbf .disk .djvu .doc .docx .dwg .eml .fdb .gz .h .hdd .kdbx .mail
.mdb .msg .mrg .ora .ost .ova .ovf .pdf .php .pmf .ppt .pptx .pst .pvi
.py .pyc .rar .rtf .sln .sql .tar .vbox .vbs .vcb .vdi .vfd .vmc .vmdk
.vmsd .vmx .vsdx .vsv .work .xls .xlsx .xvd .zip

Documents, bases de dades, fulles de calcul, correus, arxius comprimits… tota la informació important será xifrada després de la actuació de Petya.

Petya no es un Malware nou, ja fa més de un any que circula per la xarxa, en aquesta ocasió però ha mutat per tal de fe us del error que ja feia servir el Wannacry per tal de xifrar i infectar el nostre ordinador

En aquesta ocasió el rescat sol·licitat per recuperar la informació és de 300 euros en bitcoins

Una de les accions que realitza aquest malware es xifrar la MBR (Registre d’inici Mestre del disc dur) al reiniciar, per tant serà impossible accedir al sistema operatiu i tant sols mostrarà una pantalla al encendre l’ordinador. De totes maneres compta amb un temporitzador de una hora per forçar el reinici. La recomanació en aquest cas es desconnectar l’equip de la xarxa fins a actualitzar, però no apagar-lo i evitar qualsevol tipus de reinici forçat

Els “pegats” a aplicar en aquest cas, son EXACTAMENT ELS MATEIXOS  que per al Malware Wannacry. Es a dir, aquells sistemes que ja van aplicar les actualitzacions necessàries anteriorment no es poden veure afectats. Les actualitzacions publicades per Microsoft per evitar aquest problema es troben en el bulletí MS17-010 i son les següents segons el sistema operatiu:

http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012216
Per Windows 10
http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012606
Per Windows 7 i Server 2008
http://
www.catalog.update.microsoft.com/Search.aspx?q=KB4012212
Windows XP, Server2003 i 8
https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/