Petya: Es un malware de tipo Ransomware. Petya se esparce como troyano usando el popular sistema de archivos en la nube Dropbox. Mientras la mayoria de malware de secuestro de computadoras seleccionas los archivos a encriptar, Petya aumenta el daño potencial al impedir el arranque de la computadora.
Fue descubierto por primera vez en marzo del 2016. Al igual que otra variante de Patya descubierta en mayo del 2016.
Este malware utiliza ingeniería social para convencer a usuarios (o a administradores de redes) de descargar un archivo que al abrirlo se autoextrae y ejecuta el troyano. Al ejecutarse aparece una alerta de Windows. Si el usuario prosigue, Petya se aloja el registro de arranque principal de la computadora de la víctima, desactiva el modo de inicio seguro de Windows y el equipo se reinicia. Al reiniciar, aparece una pantalla que engaña al usuario diciendo “tu disco ha sido dañado y necesita ser reparado” una vez terminado este proceso, aparecen ventanas de alerta indicando que el equipo ha sido secuestrado y cómo acceder al sitio de los secuestradores para pagar el rescate antes del vencimiento de un plazo de tiempo. Al vencerse el plazo de tiempo, el monto del rescate se duplica.
Lo primero que debe hacer una víctima de secuestro de computadora es apagar el equipo, dado que mientras esté encendido el malware podría encriptar más archivos. Se ha reportado que es posible reiniciar desde otro disco diferente del infectado y recuperar los archivos del disco comprometido. En los sistemas revisados por Heise Security no se observó encriptamiento de archivos, solo del registro de arranque principal.
Gracias a un esfuerzo colectivo, tras la publicación de los detalles de malware, fueron publicadas dos herramientas claves para rescatar los equipos secuestrados sin pagar el rescate. La primera es un analizador que toma como entrada extractos de archivos que fueron encriptados por Petya y genera una clave similar a la que reciben las víctimas tras haber pagado rescate. La segunda es un extractor de segmentos que permite generar la entrada para el analizador. La debilidad del mecanismo de encriptamiento usado por este malware permite rescatar los equipos secuestrados. Es previsible que nuevas generaciones de este malware utilicen un método de encriptamiento más sofisticado.
