La aparición en marzo del cifrador-chantajista Petya anunció el aumento del malware criptográfico en la red. Por primera vez el programa chantajista fue más allá de cifrar archivos en discos locales y compartidos y, en vez de eso, se concentró en bloquear la tabla MFT en los equipos comprometidos.
Petya tuvo sus deficiencias y, poco después, los investigadores lograron desarrollar una herramienta que recuperaba algunos de los archivos que se cifraban durante la infección. Mientras tanto, los criminales creadores de Petya solucionaron una falla que evitaba que se ejecutara si no recibía privilegios de administrador cuando trataba de atacar la MFT.
La semana pasada se descubrió un nuevo instalador de Petya. Tiene incluido un modo a prueba de fallos (failsafe); si su instalador no recibe los privilegios que necesita, instala otra cepa de ransomware llamada Mischa.
El investigador Lawrence Abrams, de Bleeping Computer explicó que el ejecutable original Petya solicitaba privilegios de administrador. “Esto hace que Windows publique un aviso de Control de Cuentas de Usuario y solicite estos privilegios antes de que se active el código en el ejecutable. Si la víctima tiene el UAC desactivado, el programa se ejecuta de forma automática [con privilegios de administrador]”, explicó Abrams a Threatpost. “Esto significa que si el usuario dice ‘No’ al comando de Control de Cuentas de Usuario, el programa no se ejecuta ni instala Petya”.
Abrams dijo que los delincuentes de Petya estaban perdiendo dinero con estas instalaciones fallidas. Por eso integraron el ransomware Mischa en el instalador que se ejecuta si Petya falla.
El manifiesto de la nueva versión indica que se ejecutará con las credenciales de seguridad del usuario, dijo Abrams. Entonces, Windows permite que el programa se inicie sin la solicitud de Control de cuentas de usuario. “El instalador está programado para solicitar privilegios de administrador cuando se inicia el instalador. Esto abre una solicitud UAC y, si el usuario pulsa en el botón ‘Sí’ o la desactiva y el programa consigue privilegios de administrador, sigue adelante con sus planes e instala Petya”, dijo Abrams. “Pero si, al contrario, no recibe los privilegios de administrador, instala Mischa. Es un método muy ingenioso”.
Mientras tanto, Petya sigue atacando a los departamentos de recursos humanos alemanes enviándoles spam que contiene un enlace a un archivo malicioso ubicado en un almacenamiento en la nube. Al principio, los delincuentes utilizaban enlaces de Dropbox, pero cuan la compañía los invalidó, pasaron a utilizar el servicio en la nube alemán TelekomCloud. El archivo ejecutable malicioso viene disfrazado como un documento PDF y hasta contiene una fotografía del postulante.
“Cuando la víctima descarga el ejecutable, tiene un ícono PDF para que parezca un currículum en PDF”, dijo Abrams. “Pero este ejecutable trata de instalar Petya y, si falla, instala el ransomware Mischa”.
Mischa se comporta como la mayoría de los programas ransomware. Mischa escanea el disco local en busca de archivos con determinadas extensiones y los cifra con AES. Los archivos también reciben una extensión de cuatro caracteres, como 7GP3, dijo. “Mientras cifra el archivo, Mischa guarda la llave de descifrado al final del archivo resultante”, dijo Abrams. “Un aspecto molesto de Mischa es que no solo cifra los tipos de archivos estándar (PNGs, JPGs, DOCXs, etc.), sino también los archivos .EXE”.
Al concluir su trabajo, Mischa exige un rescate de 1,93 bitcoins, o alrededor de 875 US$ para recuperar el acceso a la información, suma que se debe pagar en bitcoins mediante un sitio de pagos en Tor. Todavía no existe un descifrador de archivos para infecciones Mischa. “A las víctimas siempre les recomendamos que intenten usar el programa Shadow Explorer para asegurarse de que las Instantáneas de volumen (Shadow Volume) estén intactas”, indicó Abrams. “Éstas podrían usarse para restaurar versiones más antiguas de los archivos cifrados”.
El programa chantajista Petya ahora viene con un jugador suplente: Mischa