Mischa: un amigo para Petya y un ransomware más para el resto del mundo

18 May 2016

[Actualización del 28 de Junio de 2017]

Petya y Mischa son amigos. En general, lo hacen todo juntos…

Un momento, esto no es un libro del tipo “Ruso para Dummies”, es el blog diario de Kaspersky Lab. Petya y Mischa son dos rasomware y se distribuyen juntos al usuario, en un único paquete.

mischa-ransomware-featured

Si visitas a menudo este blog o estás al día de las noticias sobre ciberseguridad, probablemente sepas qué es Petya. Ya le hemos dedicado dos entradas a este ransomware, ya que, un par de semanas después de que apareciera, el usuario de Twitter @leo_and_stone publicó un software de descifrado para Petya.

Petya destacaba de entre los demás ransomware porque no solo cifraba ciertos tipos de archivos, sino que hacía que todo el disco duro de un ordenador fuera ilegible al cifrar la tabla maestra de archivos. Por esta razón, todo usuario que cayera en las garras de Petya necesitaba utilizar otro PC para pagar el rescate. Bueno, después de que leo_and_stone creara su herramienta de descifrado las víctimas seguían necesitando otro PC, pero esta vez para descifrar sus archivos sin pagar el rescate.

Este es Mischa

Petya tenía una debilidad. Para poder empezar con su sucio trabajito, Petya requería privilegios de administrador. A no ser que un usuario otorgara estos privilegios haciendo clic en la opción “Sí”, Petya no podía dañar el ordenador del usuario. Así que sus creadores enmendaron su error combinándolo con otro ransomware cuyo nombre también parece ruso: Mischa.

Hay dos diferencias principales entre Petya y Mischa. Petya te priva de todo el disco duro, mientras que Mischa solo cifra cierto tipo de archivos, lo que probablemente sea una buena noticia. La mala es que, a diferencia de Petya, Mischa no necesita obtener permisos de administrador. Al parecer, sus creadores creen que ambos se complementan muy bien.

Mischa parece más bien un ransomware común que surge de vez en cuando. Utiliza el cifrado AES para cifrar archivos de datos en tu ordenador. Como se puntualiza en el blog Bleeping Computer, añade una extensión de cuatro caracteres a los archivos cifrados para que, por ejemplo, “test.txt” pase a llamarse “test.txt.7GP3”.

La lista de los tipos de archivo que Mischa prefiere para su “macabra cena” es amplia: incluye los archivos .exe, lo que impide que el usuario pueda ejecutar casi ningún programa. Sin embargo, mientras realiza el proceso de cifrado, Mischa salta a la carpeta de Windows y las de los navegadores instalados. Tras terminar con su trabajo sucio, Mischa crea dos archivos con instrucciones de pago para el usuario: YOUR_FILES_ARE_ENCRYPTED.HTML y YOUR_FILES_ARE_ENCRYPTED.TXT.

Petya y Mischa se distribuyen por medio de correos de phishing que se hacen pasar por solicitudes de empleo. Cuando el malware de Mischa se descubrió, venía dentro de un archivo llamado PDFBewerbungsmappe.exe (“PDF de documentos para la solicitud de empleo”, en alemán). El uso del alemán en el archivo y el modo en que el ransomware se distribuye indican que su objetivo principal son las empresas de habla germana.

Cuando un usuario trata de abrir el archivo .exe que contienen tanto Mischa como Petya, aparece una ventana de Control de cuentas de usuario preguntando si se quiere dar permisos de administrador al programa. Este es uno de esos momentos desagradables en que ambas elecciones son malas. Si el usuario elige “Sí”, se instala Petya; y si selecciona “No”, se instala Mischa.

Mischa parece ser aún más caro: pide unos 1,63 bitcoins como rescate, lo que equivale a unos 778 euros. Sin embargo, Petya pide 0,9 bitcoins.

Un dato curioso o divertido (si es que hay algo divertido en lo que a ransomware se refiere): Petya es un nombre ruso y Mischa parece que también, pero, en realidad, no lo es. Un rusohablante usaría “Misha”, sin la “c” intercalada (¡con la “c” suena raro!)

Por desgracia, todavía no existe ninguna herramienta de descifrado para Mischa. Hay una para Petya, pero para ejecutarla se requiere otro PC y algunas habilidades especiales.

Así que, para evitar ser víctima de Petya o de Mischa, o de cualquier otro Vasya, SuperCrypt, El Rapto, etc. que aparezca en el futuro, te recomendamos lo siguiente:

  1. Haz copias de seguridad. Hazlas con frecuencia y a conciencia. Si ya tienes copias de tus archivos, podrás mandar a este ransomware a… adonde te dé más rabia.
  1. No confíes en nadie y permanece atento. ¿Que una solicitud de empleo tiene una extensión .exe? Mmm… Parece sospechoso, así que no lo abras. ¡Más vale prevenir que curar!
  1. Instala una buena solución de seguridad. Kaspersky Internet Security tiene varios niveles de protección y no dejará que Mischa ni ningún otro ransomware se cuele en tu dispositivo.

Kaspersky Internet Security tiene un componente antispam que te protege frente al spam y los correos de phishing. Tiene un antivirus que detecta y elimina a Mischa y a Petya, cuyos alias son Trojan-Ransom.Win32.Mikhail and Trojan-Ransom.Win32.Petr. También cuenta con la característica System Watcher que detecta actividades inusuales (por ejemplo, intentos de cifrado de múltiples archivos) y las bloquea. Kaspersky Total Security tiene todas estas características ya mencionadas y, además, una herramienta para crear copias de seguridad automatizadas.

Actualización del 28 de Junio de 2017

Si estás buscando información acerca del nuevo brote de ransomware Petya/ NotPetya / ExPetr, tenemos un artículo dedicado a ello con consejos para proteger tus archivos.