Petya ransomware - cómo eliminar?

 

 

 

¿Qué es Petia?

Petya es un ransomware que se distribuye a través de correos electrónicos maliciosos que contienen enlaces de descarga de Dropbox a aplicaciones que, cuando se ejecutan, instalarán Petya en las computadoras de las víctimas. La investigación muestra que estos correos electrónicos se dirigen principalmente a los departamentos de recursos humanos (HR) de varias empresas alemanas. Después de infiltrarse en el sistema, Petya encripta partes de los discos duros y pide rescate.

Al cifrar partes del disco duro, Petya evita que los usuarios inicien sus sistemas operativos. El ransomware reemplaza el Registro de inicio maestro (la información ubicada al comienzo del disco duro le indica a la computadora cómo iniciar) con un cargador malicioso. Petya luego reinicia automáticamente la computadora. Una vez que se reinicia la computadora, el nuevo cargador (malicioso) se ejecutará y comenzará a cifrar archivos. Durante este proceso, se muestra una pantalla de verificación de disco falso (CHKDSK). El ransomware corrompe la tabla maestra de archivos (MFT). Por lo tanto, la computadora no puede hacer referencia a la ubicación de los archivos en el sistema (si los hay). Los archivos se vuelven inaccesibles y, por lo tanto, Windows ya no puede cargar. Luego se muestra una imagen de una calavera, que cambia a una pantalla de bloqueo que contiene un mensaje que afirma que los archivos han sido encriptados y que la víctima debe pagar un rescate para restaurarlos. La pantalla alienta a los usuarios a descargar el navegador Tor y visitar las URL.
siempre que s
supuestamente contienen más instrucciones de pago. La investigación muestra que no hay forma de restaurar los archivos sin pagar. Puedes reparar tu MBR, y aunque esto eliminará la pantalla de bloqueo, no descifrará los archivos, solo brindará la oportunidad de formatear el disco duro e instalar una nueva copia de Windows. Una vez más, en el momento de la investigación, no había herramientas capaces de descifrar el Registro de arranque maestro para hacer que los archivos fueran accesibles.

Captura de pantalla del sitio web del ransomware Petya:

Aunque cifrar partes de discos duros de esta manera es bastante singular, los virus de tipo ransomware tienden a tener un comportamiento similar. Locky, TeslaCrypt, Converton y Rokku, Maktub son solo algunos ejemplos de una larga lista de infecciones de ransomware similares. Todos encriptan archivos y piden rescate. La mayoría usa encriptación asimétrica. El monto promedio de los rescates es de 1~ Bitcoin (en el momento de la investigación, equivalente a $413,75). Además, muchos de estos virus se propagan mediante actualizaciones de software falsas, troyanos, redes punto a punto (P2P) y/o archivos adjuntos de correo electrónico maliciosos. Por lo tanto, tenga cuidado al descargar aplicaciones/archivos de fuentes de terceros. Asegúrese de que los archivos adjuntos de correo electrónico que está abriendo se envíen desde direcciones confiables. Mantener el software instalado actualizado y usar un paquete anti-spyware/anti-virus legítimo también es primordial.

 

Actualización 25 julio, 2017 - Los investigadores de seguridad de Malwarebytes utilizaron una clave maestra liberada para este ransomware y pudieron desarrollar un descifrador. Puedes leer más sobre esto aquí.

Texto presentado en el sitio web del ransomware Petya:

Su computadora ha sido encriptada.

Los discos duros de su computadora han sido encriptados con un algoritmo de encriptación de grado militar. Es imposible recuperar sus datos sin una clave especial. Esta página lo ayudará con la compra de esta clave y el descifrado completo de su computadora.

Preguntas frecuentes (FAQ) sobre el sitio web del ransomware Petya:

Literatura y libros

Pantalla de verificación de disco falso de Petya (CHKDISK):

Texto presentado en esta pantalla:

Reparación del sistema de archivos en C:

El tipo de sistema de archivos es NTFS.
Uno de sus discos contiene errores y necesita ser reparado. Este proceso puede tardar varias horas en completarse. Se recomienda encarecidamente dejar que se complete.

ADVERTENCIA: ¡NO APAGUE SU PC! ¡SI ANULA ESTE PROCESO, PODRÍA DESTRUIR TODOS SUS DATOS! ¡ASEGÚRESE DE QUE SU CABLE DE ALIMENTACIÓN ESTÉ ENCHUFADO!

CHKDSK está reparando sector --- de ---- (-%)

Captura de pantalla de una imagen de calavera mostrada por el ransomware Petya:

Captura de pantalla de la pantalla de bloqueo del ransomware Petya:

Texto presentado en la pantalla de bloqueo:

¡Te convertiste en víctima del PETYA RANSOMWARE!

Los discos duros de su computadora han sido encriptados con un algoritmo de encriptación de grado militar. No hay forma de restaurar sus datos sin una clave especial. Puede comprar esta clave en la página de darknet que se muestra en el paso 2.
Para comprar su clave y restaurar sus datos, siga estos tres sencillos pasos:
1. Descargue el navegador Tor en "https://www.torproject.org/".
2. Visite una de las siguientes páginas con el Navegador Tor:
https://petya37h5tbhyvki.onion/LqPmoG
3. Ingrese su código de descifrado personal allí:
Si ya compró su clave, introdúzcala a continuación.
Llave:

Actualización 11 abril, 2016 - Los investigadores de seguridad pudieron desarrollar una herramienta que puede descifrar archivos comprometidos por el ransomware Petya de forma gratuita. Para utilizar esta herramienta (creada por leopiedra) debe desconectar el disco duro que contiene los archivos cifrados por el ransomware Petya y conectarlo a otra computadora. Entonces podrías usar una herramienta desarrollada por Fabián Wosar para obtener los datos de su disco necesarios para generar una contraseña para descifrar los archivos. Después de conectar el HDD a la computadora limpia, debe iniciar el PetyaExtractor.exe programa. Luego navegue al sitio web https://petya-pay-no-ransom.herokuapp.com (si no está disponible, intente con https://petya-pay-no-ransom-mirror1.herokuapp.com/). En Programa Extractor Sector Petya haga clic en "Copiar sectorluego navegue al sitio web petya-pay-no-ransom y péguelo en "Datos de verificación de 512 bytes codificados en Base64" campo. Luego regrese al programa Petya Sector Extractor y haga clic en "Copiar nonce", navegue al sitio web petya-pay-no-ransom y péguelo en"Base64 codificado 8 bytes nonce" campo. Ahora debes hacer clic en “Entregar” en el sitio web y espere unos momentos para recibir su contraseña. Debe anotarlo, conectar el HDD a la computadora original, cuando vea la pantalla de bloqueo del rescate de Petya, debe ingresar la contraseña que anotó previamente. Si todo se hizo correctamente, sus datos deberían ser descifrados.

Actualización 12 mayo, 2016 - Los ciberdelincuentes han actualizado el ransomware Petya. Ahora usa un esquema de color verde/negro en lugar de blanco/rojo. Otras actualizaciones incluyen el uso de un ransomware secundario llamado "Mischa". Este ransomware se instala en la computadora de la víctima si el usuario no otorga los derechos administrativos al ejecutar un archivo adjunto de correo electrónico infectado.

Capturas de pantalla de un ransomware Petya actualizado:



Petya ransomware - cómo eliminar?

Petya es un ransomware que se distribuye a través de correos electrónicos maliciosos que contienen enlaces de descarga de Dropbox a aplicaciones que, cuando

apple

es

https://teranautas.es/static/images/apple-petya-ransomware-como-eliminarja-9827-0.jpg

2023-07-10

 

Si crees que alguno de los contenidos (texto, imagenes o multimedia) en esta página infringe tus derechos relativos a propiedad intelectual, marcas registradas o cualquier otro de tus derechos, por favor ponte en contacto con nosotros en el mail [email protected] y retiraremos este contenido inmediatamente

 

 

Top 20