¿El ransomware Petya/NotPetya elimina los datos? No, es algo diferente

Petna/NotPetya tiene más enigmas para los expertos informáticos

Justo después del asalto de WannaCry, el mundo debe encontrar modos para aprender a recuperarse también de los ataques de Petya/ExPetr/NotPetya. Aunque la escala de estos ataque ha sido más pequeña en comparación con la del primer virus mencionado, los resultados pudieron ser más severos. Los especialistas en ciber seguridad crearon un desencriptador para WannaCry, pero los usuarios de NotPetya tendrás muy pocas probabilidades de obtener uno.

Nuevos hechos descubiertos

El 27 de Junio, el mundo fue de nuevo golpeado con un malware que parecía ser otra versión de Petya. Los análisis revelaron:

• el malware, denominado como NotPetya/Petya.A/Petrwrap, resultó ser una variación de Petya pero con un código fuente totalmente sobrescrito
• el virus se carga en vez del sistema operativo Windows
• se centra en las mismas vulnerabilidades
• pide 300$ en forma de pago
• no asigna ninguna ID al ordenador afectado

Mientras que el código fuente puede ser completamente diferente, el virus se comporta de manera similar a la versión original de Petya. Se interpone en la configuración de arranque, lo cual le permite cargarse en vez de Windows.

Además, una denuncia reciente ha sugerido que el malware elimina eventualmente los archivos de las víctimas. Sin embargo, pronto estas asunciones fueron negadas. Más específicamente, el malware resultó ser más bien un ciber asalto que un ransomware actual. Ni la versión original de Petya ni la última desviación se comunican con servidores de Comando y Control.

Por ello, el virus no asigna un código de identificación específico al dispositivo de la víctima. En resumidas cuentas, sin esta información, las víctimas no puede recibir una clave de desencriptación para sus archivos. Es más, las víctimas de BotPetya no deberían considerar pagar, ya que uno de los dominios incluidos en el email ha sido destruido.

La fuente de infección se encuentra en Ukraine

Aunque la amenaza virtual ha infectado docenas de corporaciones internacionales y compañías de todo el mundo, ha manifestado una clara preferencia por Ucrania. Últimamente, este país ha sido objetivo frecuente de ciber perpetradores.

Sin embargo, los reportes han revelado resultados asombrosos. La fuente de NotPetya/Petna/Petya.A se encuentra en una cuenta digital de un desarrollador de software ucraniano, M.E. Doc. Los profesionales del sector declaran tener una evidencia de que los ciber villanos se han infiltrado en el sistema del ordenador de la compañía y han corrompido toda la red.

Por ello, cada empresa asociada que haya instalado las actualizaciones problemáticas de la empresa matriz ha quedado inmediatamente infectada. Las características nuevamente descubiertas sugieren que este malware puede ser el pico de una campaña ciber política mayor dirigida contra Ucrania. Como nota, una vez que WannaCry salió a la luz, el malware XData inflingió incluso más daño.

Desde su aparición, sorprendentes hechos han sido descubiertos, y con suerte, los futuros análisis no solo revelarán hechos más intrigantes, sino que también sugerirán cómo paralizar permanentemente la infección.