Petya es un ransomware que utiliza una nueva forma para bloquear el computador y exigir un pago por su rescate.
Este ransomware se diferencia de otros ya conocidos por bloquear mediante el cifrado de los archivos del disco duro. En vez de hacer esto, Petya sobrescribe el MBR (Master Boot Record) o Registro Maestro de Arranque del computador, haciendo que el sistema operativo no pueda iniciar.
El MBR es un código almacenado en el primer sector (sector cero) del disco duro y es utilizado para el arranque del sistema operativo.
Los investigadores de Trend Micro informaron que Petya se distribuye vía spam simulando provenir de un solicitante de empleo. El mensaje incluye un enlace a una ubicación de almacenamiento de Dropbox para que el usuario víctima pueda descargar la foto y el Curriculum Vitae (CV) del solicitante. El CV es un archivo autoextraíble que una vez descargado y ejecutado da lugar a la instalación de un troyano para evitar el programa antivirus instalado antes de descargar y ejecutar el ransomware Petya.
Entonces Petya sobreescribe el MBR del computador, ocasionando que Windows deje de funcionar y muestre la ya conocida pantalla azul de la muerte (BSOD), para que el usuario reinicie el computador y entonces el código malicioso del MBR evitará la carga de Windows y en su lugar mostrará una pantalla en blanco y rojo intermitente con una calavera en ella y el mensaje “PRESS ANY KEY!”, tras lo cual aparecerá el mensaje de rescate cuyo monto es de aproximadamente 0.99 bitcoins (BTC), unos 430 USD.
Los autores del ransomware encontraron más efectivo cifrar la MFT en lugar de cifrar archivo por archivo, que lleva más tiempo. Con la MFT cifrada Windows desconoce la información relacionada de los archivos alojados en el disco duro. Aunque es posible recuperar los archivos mediante técnicas especializadas de recuperación de datos, hacerlo implica tiempo muchas veces difícil de dimensionar y no siempre es garantía de recuperación al cien por ciento.
Los investigadores de Trend Micro reportaron a Dropbox el almacenamiento del archivo malicioso en su servicio. Dropbox ha borrado el archivo y enlaces relacionados.