Es una historia que todos conocemos, o al menos hemos escuchado en algún momento en estas últimas semanas: enciendes el ordenador y te encuentras con un misterioso mensaje diciendo que tus archivos están encriptados. Pronto te das cuenta de que es probable que tus datos, archivos e imágenes desaparezcan para siempre, eso sí, te incluirán un enlace donde mediante el pago con algún tipo de cripto-moneda podrás “rescatar” todos tus datos “secuestrados”. No, no se trata de la última película de Tom Cruise, esto le sucede todos los días a personas como nosotros.

En esta ocasión, nos encontramos con una nueva y virulenta variante de ransomware llamado NotPetya que está arrasando el planeta, aunque en esta ocasión podemos respirar con un poco más de tranquilidad, esta vez hay una “vacuna” disponible.

¿Qué es NotPetya?

Los primeros síntomas del ataque aparecieron el 27 de junio en Ucrania, con el Banco Nacional de Ucrania y el Aeropuerto Internacional de Kiev, ambos golpeados duramente por el ataque. Incluso el sistema de monitorización de radiación de Chernobyl se vio afectado. Pero NotPetya, que ataca al sistema operativo Windows, no se quedó allí. Microsoft ha confirmado que las computadoras de otros 64 países han sido infectadas.

Este ransomware, llamado así porque exige un pago de los usuarios a cambio de “liberar” sus archivos, parece usar algún código de un ransomware anterior conocido como Petya. Sin embargo, esta última versión parece haber sido creada con la supuesta intención de explotar una vulnerabilidad EternalBlue de la NSA (Agencia de Seguridad Nacional de Estados Unidos) – la misma que impulsó la propagación de WannaCry – siendo denominada por los investigadores de seguridad como “NotPetya”.

Según la firma de seguridad Symantec, NotPetya es particularmente virulento porque en lugar de simplemente encriptar los archivos de un sistema, en realidad modifica el registro de arranque maestro de una computadora para cifrar el disco duro completo.

Una vez que el sistema está infectado, se muestra un mensaje solicitando la cantidad de 300$ en Bitcoin a cambio de una clave de descifrado para liberar el sistema. Sin embargo, como la dirección de correo electrónico indicada para confirmar que el rescate ha sido pagado ha sido cerrada por el proveedor de correo electrónico, hay poca o ninguna posibilidad de que recibamos una clave de descifrado, aunque realicemos el correspondiente pago.

Esencialmente, aquellos que hayan sido atacados por NotPetya pueden decirle adiós a toda la información que tenían almacenada en su disco duro.

¿Existe una vacuna?

Pero la situación no es desesperada. Para todos aquellos que no se puedan permitir apagar sus ordenadores hasta que se solucione el ataque o podamos instalar algún parche de seguridad que evite este tipo de ataques, parece que existe un método casero relativamente sencillo para evitar ser infectados.

Un investigador de seguridad con el nombre de Amit Serper parece haber encontrado una forma de evitar que el ransomware se ejecute en equipos vulnerables con sólo unos pocos pasos sencillos.

Su investigación, que desde entonces ha sido confirmada por otros expertos, es que NotPetya busca un archivo específico en una computadora antes de cifrar el contenido de la misma. Si ese archivo se encuentra, el ransomware no se activará.

Así que lo que todos los usuarios interesados ​​tienen que hacer es crear un archivo con ese nombre, y entonces NotPetya no se ejecutará. Para ello, vaya a la carpeta C:\Windows y cree un archivo de sólo lectura con el nombre de “perfc”. Es importante destacar que no debe tener ningún tipo de extensión de archivo. Bleeping Computer tiene una estupenda guía paso a paso para aquellos que buscan instrucciones detalladas.

Una dosis adicional de seguridad, que todos deberían haber hecho ahora, pero que claramente no lo hacen, es instalar actualizaciones de seguridad de Windows. La vulnerabilidad de EternalBlue utilizada por NotPetya, que se basa en una vulnerabilidad de SMB (protocolo de red para compartir archivos, impresoras, etc.), fue solucionada por Microsoft en marzo.

Tanto mantener su sistema operativo Windows actualizado con parches de seguridad, como la creación del archivo “perfc” como explica Amit Serper, debería ser suficiente para prevenir el ataque de NotPetya.

¿En cuanto a la próxima ola de ransomware? Si bien la predicción de lo que está por venir es una tarea difícil si no imposible, todavía se pueden tomar lagunas medidas de precaución: Asegurarse de que el sistema está totalmente actualizado, disponer de todos los sistemas de seguridad posibles (Antivirus, Firewall, etc) también actualizados con las últimas versiones y definiciones de virus, y lo más importante, dudar de los cientos de enlaces y archivos para descargar que recibimos todos los días en nuestra bandeja de correo electrónico.