El investigador de seguridad de Cybereason Amit Serper ha encontrado una manera de evitar la infección de las computadoras por el ramsonware Petya (NotPetya / SortaPetya / Petna).

Hoy en día el ransomware ha causado estragos en todo el mundo, bloqueando las secciones MFT y MBR del disco duro e impidiendo que los ordenadores arranquen. A menos que las víctimas opten por pagar un rescate (que ahora es inútil y no recomendado), no había manera de recuperar sus sistemas.

En las primeras horas del ataque, los investigadores creyeron que este nuevo ransomware era una nueva versión de una antigua amenaza llamada Petya, pero más tarde descubrieron que se trataba de una nueva cepa, que tomó prestado algún código de Petya, de ahí la razón por la que recientemente comenzó Llamándolo NotPetya, Petna, o como nos gusta llamarlo SortaPetya.

Debido a la extensión global del ransomware, muchos investigadores se reunieron para analizarlo, con la esperanza de encontrar una laguna en su cifrado o un dominio de killswitch que impediría su propagación, similar a como ocurrió con WannaCry.

Los hallazgos iniciales del investigador han sido confirmados posteriormente por otros investigadores de seguridad, como PT Security, TrustedSec y Emsisoft.

Esto significa que las víctimas pueden crear ese archivo en sus PCs, establecerlo en modo de sólo lectura y bloquear la ejecución del ransomware NotPetya.

Si bien esto impide que el ransomware se ejecute, este método es más una vacuna que un interruptor de matar. Esto es porque cada usuario de la computadora debe crear independientemente este archivo, comparado con un “interruptor” que el desarrollador del ransomware podría dar vuelta a encendido para prevenir globalmente todas las infecciones del ransomware.

Cómo activar la vacuna NotPetya / Petna / Petya

Para vacunar su equipo para que no pueda infectarse con la cepa actual de NotPetya/Petya/Petna (sí, este nombre es molesto), simplemente cree un archivo llamado perfc en la carpeta c:\Windows y haga que sea de sólo lectura. Para aquellos que quieren una forma rápida y fácil de realizar esta tarea, Lawrence Abrams ha creado un archivo por lotes que realiza este paso por usted.

Tenga en cuenta que el archivo por lotes también creará dos archivos de vacunación de adición llamados perfc.dat y perfc.dll. Mientras que mis pruebas no indican que estos archivos adicionales son necesarios, los agregué para la minuciosidad basada en las respuestas a este Tweet.

Este archivo por lotes se puede encontrar en este enlace: https://download.bleepingcomputer.com/bats/nopetyavac.bat

Para aquellos que deseen vacunar su computadora manualmente, puede hacerlo usando los siguientes pasos. Tenga en cuenta que estos pasos se están creando para que sea lo más fácil posible para aquellos con poca experiencia en el manejo de las computadoras. Para aquellos que tienen una mayor experiencia, usted puede hacerlo en bastantes, y probablemente mejores, maneras.

Primero, configure Windows para mostrar las extensiones de archivo. Para aquellos que no saben cómo hacer esto, puede utilizar esta guía (en inglés). Sólo asegúrese de que la Configuración de Opciones (Folder Options) de la carpeta para Ocultar extensiones para los tipos de archivo conocidos (Hide extensions for known file types) se desmarque como se muestra a continuación.

Una vez que haya habilitado la visualización de extensiones, que siempre debe tener activada, abra la carpeta c:\Windows. Una vez que la carpeta está abierta, desplácese hacia abajo hasta que vea el programa notepad.exe.

Una vez que vea el programa notepad.exe, haga clic izquierdo en él una vez para que se resalte. A continuación, presione las teclas Ctrl + C para copiar y luego las teclas Ctrl + V para pegarlo. Cuando lo pegue, recibirá un mensaje en una nueva ventana pidiéndole que conceda permiso para copiar el archivo.

Pulse el botón Continuar (Continue) y el archivo se creará como notepad – Copy.exe. Haga clic izquierdo en este archivo y presione la tecla F2 en su teclado y ahora borre el nombre de archivo de notepad – Copy.exe y escriba perfc como se muestra a continuación.

Una vez que el nombre de archivo ha cambiado a perfc, presione Intro (Enter), en su teclado. Ahora recibirá un mensaje de una nueva ventana preguntándole si está seguro de que desea cambiarle el nombre.

Haga clic en el botón (Yes). Windows solicitará permiso para cambiar el nombre de un archivo en esa carpeta. Haga clic en el botón Continuar (Continue).

Ahora que el archivo perfc ha sido creado, ahora necesita hacerlo que sea de sólo lectura. Para ello, haga clic con el botón derecho en el archivo y seleccione Propiedades (Properties) como se muestra a continuación.

Ahora se abrirá la ventana del menú de propiedades de este archivo. En la parte inferior aparecerá una casilla de verificación denominada de Sólo lectura (Read-only). Ponga una marca de verificación en ella como se muestra en la imagen de abajo.

Ahora haga clic en el botón Aplicar (Apply) y luego en el botón Aceptar (OK). La ventana de propiedades debería cerrarse ahora.

Mientras que en las pruebas del señor Amit Serper, el archivo C: \ windows \ perfc es todo lo que necesitaba para vacunar su computadora, también se ha sugerido que cree C: \ Windows \ perfc.dat y C: \ Windows \ perfc.dll para ser más exhaustivo. Usted puede rehacer estos pasos para crear esos archivos de vacunación también.

Fuente: bleepingcomputer

Anuncios