![]() |
Petya pidiendo el rescate |
«Si ves este texto, tus archivos ya no están accesibles, porque han sido cifrados. Tal vez estés ocupado buscando una forma de recuperar tus archivos, pero no malgastes tu tiempo. Nadie puede recuperar tus archivos sin nuestro servicio de descifrado«.
Tal y como ocurría con Wannacry el virus cifra archivos importantes del usuario y muestra un mensaje en el que se solicita un rescate para recuperar la información secuestrada. La lista de extensiones cifradas es amplia:
.3ds .7z .accdb .ai .asp .aspx .avhd .back .bak .c .cfg .conf .cpp .cs .ctl .dbf .disk .djvu .doc .docx .dwg .eml .fdb .gz .h .hdd .kdbx .mail .mdb .msg .mrg .ora .ost .ova .ovf .pdf .php .pmf .ppt .pptx .pst .pvi .py .pyc .rar .rtf .sln .sql .tar .vbox .vbs .vcb .vdi .vfd .vmc .vmdk .vmsd .vmx .vsdx .vsv .work .xls .xlsx .xvd .zip
![]() |
Una muestra de Petya en Virustotal |
Another #petya sample from a month ago: https://t.co/3n3gCadjKM— Karl Hiramoto (@karlhiramoto) 27 de junio de 2017
Por otra parte, la dirección de correo del atacante a través de la cual se realiza el pago está bloqueada, por lo cual será imposible llegar a realizar el pago.
Nuestro compañero Fernando Díaz explica en un hilo de Twitter acciones para detenerlo y una «vacuna temporal«:
La rutina de cifrado se activará cuando reiniciemos, en el arranque. En caso de ver que se ejecuta un CHKDSK apagar— Fernando (@entdark_) 27 de junio de 2017
//platform.twitter.com/widgets.js
… frenaría el proceso. En cualquier caso, es una vacuna temporal. Apagar y sacar los datos es lo ideal.— Fernando (@entdark_) 27 de junio de 2017
//platform.twitter.com/widgets.js
Vale desde powershell crear New-Item %unidad%/windows/perfc— Fernando (@entdark_) 27 de junio de 2017
//platform.twitter.com/widgets.js
Sin duda una de las imágenes del ataque queda reflejada en esta foto de un supermercado ucraniano:
![]() |
Pues hoy no compra nadie |
Deja una respuesta