Uno de los orígenes del problema parece haber sido el software de contabilidad MeDoc que se usa de forma masiva en empresas y gobiernos ucranianos.
El malware hace uso además de vectores de infección como el exploit EternalBlue que se usó también en WannaCry, además de otro exploit llamado EternalRomance que hace uso del puerto TCP 445 o de herramientas como psexec (para ejecutar comandos en esas máquinas a las que se va conectando).
Todas estas vulnerabilidades (EternalBlue y EternalRomance, robadas y filtradas por la NSA, fueron parcheadas por Microsoft hace meses con el parche MS17-010) se aprovechan para infectar a las máquinas y luego propagarse por redes locales de forma similar a como lo hacía WannaCry. NotPetya curiosamente no trata de ganar privilegios de administrador, y aprovecha la estructura "plana" de muchas redes empresariales en las que un administrador en un extremo de la red puede lograr acceso total en el resto de máquinas de la red.
Cómo detener a NotPetya: existe kill-switch
Según los análisis de este ransomware, entre 10 y 60 minutos después de la infección el ordenador afectado nos fuerza a reiniciarlo, y al hacerlo aparece una pantalla que imita la del chequeo de disco (CHKDSK) que aunque parece que está haciendo eso en realidad está cifrando diversos archivos de nuestro equipo.
Una de las primeras medidas si nos vemos afectados por el problema es precisamente apagar el ordenador de buenas a primeras si vemos esa pantalla de chequeo de disco. Eso nos permitirá recuperar los ficheros que no hayan sido cifrados si iniciamos el ordenador con un CD o un USB de recuperación, como por ejemplo un Live USB con Ubuntu que dé acceso al sistema de ficheros Windows para rescatar esos ficheros a un dispositivo de almacenamiento externo.
Un experto de seguridad llamado Amit Serper ha descubierto una teórica forma de evitar la infección: el 'kill-switch' consiste en la creación de un fichero de solo lectura en la carpeta C:\Windows\ que tendremos que llamar "perfc" (sin extensión). Según sus pruebas, el malware escanea esa unidad y si encuentra ese fichero no lo infecta.
Aprendiendo la lección (una vez más): copias de seguridad y actualizaciones frecuentes
El ransomware WannaCry ya hizo que muchos tomaran conciencia de lo importante que es mantener sus sistemas operativos, aplicaciones y servicios actualizados para evitar que diversos ciberataques aprovechen potenciales agujeros de seguridad en estos sistemas.
Esa medida se suma a otra igualmente importante: la realización de copias de seguridad frecuentes que al menos pongan a salvo archivos importantes en localizaciones seguras (en la nube o en sistemas de almacenamiento externo).
Es cierto que no siempre es posible para las empresas aplicar las actualizaciones de seguridad lo rápido que deberían, pero aún así algo debe cambiar en la mentalidad de dichas empresas. Los procesos de validación de esas actualizaciones son largos e implican garantizar que las aplicaciones críticas de la empresa no se ven afectadas, pero estos últimos ciberataques dejan claro el coste que puede llegar a tener que asumir una empresa que de repente debe apagar todos sus sistemas para hacer frente a estos ransomware.
En el caso de usuarios finales estos obstáculos no existen, así que os recomendamos hacer uso de esos dos métodos y ganar un poco de tranquilidad. Un disco duro externo de 4 TB cuesta apenas 100 euros, y cualquier ataque de este tipo suele pedir entre 300 y 600 dólares sin que haya garantía total de que nos dén la clave de descifrado que bloqueaba el acceso a nuestros archivos. No parece mala inversión recurrir a una unidad externa o al almacenamiento en la nube, ¿no os parece?
