Clicky

El autor del original ransomware Petya ofrece ayuda a las víctimas del NotPetya

hacker de Petya

Los investigadores han encontrado que NotPetya no es un ransomware, sino un malware limpiador

El autor del original ransomware Petya ha vuelto.

Después de 6 meses de silencio, el autor del infame ransomware Petya apareció ayer en Twitter para ayudar a las víctimas a desbloquear sus archivos cifrados por una nueva versión de Petya, también conocida como NotPetya.

"Volvemos a echar un vistazo en NotPetya", tweeteo Janus, un nombre del creador de Petya previamente escogido de un villano de James Bond. "Tal vez es crackable con nuestro privkey. Por favor, cargar el primer 1MB de un dispositivo infectado, eso podría ayudar".

Esta afirmación hecha por el autor de Petya sugiere que él pudo haber guardado una llave principal de desciframiento, que si trabajase para la nueva variante de archivos infectados de Petya, las víctimas podrían descifrar sus archivos bloqueados en el reciente clamor del cyber.

Janus vendió a otros hackers en marzo de 2016 Petya como Ransomware-as-a-Service (RaaS) y, como cualquier ransomware conocido, el Petya original fue diseñado para bloquear la computadora de la víctima, y luego devolverla cuando se paga un rescate.

Esto significa que cualquier persona podría lanzar el ataque del ransomware de Petya con apenas el tecleo de un botón, encriptar el sistema de cualquier persona y exigir un rescate para desbloquearlo. Si la víctima paga, Janus recibe una comisión del pago. Pero en diciembre, se quedó en silencio.

Sin embargo, el martes, los sistemas informáticos de la infraestructura crítica de la nación y corporativas en Ucrania y otros 64 países fueron golpeados por un ataque cibernético global, que fue similar al brote de WannaCry que paralizó decenas de miles de sistemas en todo el mundo.

Inicialmente fue culpada una nueva variante del ransomware Petya, NotPetya, por infectar sistemas en todo el mundo, pero más tarde, la historia de NotPetya tomó un giro interesante.

Ayer, los investigadores encontraron que NotPetya no es un ransomware, sino que es un malware limpiador que limpia completamente los sistemas, destruyendo todos los registros de los sistemas objetivo.

NotPetya también utiliza los exploits filtrados Windows desde la NSA, EternalBlue y EternalRomance, para expandirse rápidamente dentro de la red, y las herramientas WMIC y PSEXEC para ejecutar remotamente malware en las máquinas.

Los expertos incluso creen que el verdadero ataque ha sido disfrazado para desviar la atención del mundo de un ataque patrocinado por el estado de un brote de malware.

El código fuente de Petya nunca se ha filtrado, pero algunos investigadores todavía están tratando de hacer ingeniería inversa para encontrar posibles soluciones.

¿Realmente esto ayudaría a las víctimas?

Ya que Janus está examinando el nuevo código e incluso si su clave maestra logra descifrar la tabla de archivos maestros de las víctimas, no será de mucha ayuda hasta que los investigadores encuentren una manera de reparar el MBR, que es borrado por NotPetya sin guardar ninguna copia.

Se cree que el brote cibernético del martes es mayor que el de WannaCry, causando desastres en muchas infraestructuras críticas, incluyendo el bloqueo de computadoras en una compañía eléctrica ucraniana, varios bancos y el aeropuerto internacional Kyiv Boryspil en Ucrania.

El NotPetya también canceló las cirugías en dos hospitales de la zona de Pittsburgh, infectó computadoras en la compañía farmacéutica Merck y el bufete de abogados DLA Piper, así como computadoras en la compañía naviera holandesa AP Moller-Maersk, obligando a cerrar algunas terminales de contenedores en puertos marítimos de Los Ángeles a Mumbai.

Jesus_Caceres