PetrWrap es un ransomware que está atacando a las PCs y servidores de las organizaciones. Destaca por utilizar el ransomware Petya para infectar los equipos pero ocupando su propio módulo para el cifrado de archivos.
Petya está infectando equipos desde el año pasado y trabaja bajo el modelo RaaS (Ransomware como un Servicio). Sin embargo, los autores de PetrWrap optaron por no usar el modelo pero sí apoyarse en Petya sin tener que escribir el código de bajo nivel de arranque ni tener los errores de versiones anteriores de Petya.
PetrWrap está escrito en C y compilado en MS Visual Studio, PetrWrap usa a Petya para infectar el equipo, de acuerdo con la investigación de los expertos de seguridad de Kaspersky. Los cibercriminales detrás de PetrWrap quieren ocultar el uso de Petya y para ello han diseñado un módulo especial que modifica el código de Petya cuando se está ejecutando y controlar su operación.
El módulo implementa su propia rutina de cifrado de datos y llaves para evitar depender de la llave privada de Petya para el descifrado de los archivos afectados.
El ransomware cifra la Tabla Maestra de Archivos (MFT) de las particiones NTFS, bloqueando el acceso al equipo infectado. La pantalla del equipo es bloqueada sin mencionar a Petya, dificultando la evaluación de la situación y daños.
Aunque no existe un descifrador para los archivos afectados por PetrWrap, existe la posibilidad de recuperar los archivos con herramientas de terceros, como R-Studio.
Los investigadores de Kaspersky recomiendan las siguientes medidas a las organizaciones para protegerse contra los ataques dirigidos de ransomware:
- Mantener actualizado el software de servidor
- Utilizar contraseñas seguras para sistemas de acceso remoto
- Instalar soluciones de seguridad en los servidores
- Utilizar soluciones de seguridad con componentes de detección de comportamiento en los equipos de punto final