Cómo detener al nuevo ransomware que ha causado el último ciberataque masivo: existe kill-switch

El último ciberataque ha hecho estragos sobre todo en Ucrania, pero se ha propagado a varios países occidentales como España. Un análisis del mismo nos permite conocer cómo está actuando, y aunque en ciertos casos es posible recuperar los datos si actuamos a tiempo, el consejo para evitar el caos es siempre el mismo: tener actualizado el sistema operativo y, cómo no, realizar copias de seguridad regularmente.

Un ransomware que no va (necesariamente) a por nuestro dinero

Como explican en The Register, aunque este ransomware pide un rescate de 300 dólares a ingresar en una cartera bitcoin, la motivación tras el ataque parece muy distinta. Por ejemplo, no cifra archivos PNG, y se centra en archivos con extensiones de lenguajes de programación como los de Python, Visual Basic, algo que explicaba el experto en seguridad the grugq.

Uno de los orígenes del problema parece haber sido el software de contabilidad MeDoc que se usa de forma masiva en empresas y gobiernos ucranianos.

El malware hace uso además de vectores de infección como el exploit EternalBlue que se usó también en WannaCry, además de otro exploit llamado EternalRomance que hace uso del puerto TCP 445 o de herramientas como psexec (para ejecutar comandos en esas máquinas a las que se va conectando).

Todas estas vulnerabilidades (EternalBlue y EternalRomance, robadas y filtradas por la NSA, fueron parcheadas por Microsoft hace meses con el parche MS17-010) se aprovechan para infectar a las máquinas y luego propagarse por redes locales de forma similar a como lo hacía WannaCry. Curiosamente este nuevo ransomware no trata de ganar privilegios de administrador, y aprovecha la estructura “plana” de muchas redes empresariales en las que un administrador en un extremo de la red puede lograr acceso total en el resto de máquinas de la red.

Según los análisis de este ransomware, entre 10 y 60 minutos después de la infección el ordenador afectado nos fuerza a reiniciarlo, y al hacerlo aparece una pantalla que imita la del chequeo de disco (CHKDSK) que aunque parece que está haciendo eso en realidad está cifrando diversos archivos de nuestro equipo.

Una de las primeras medidas si nos vemos afectados por el problema es precisamente apagar el ordenador de buenas a primeras si vemos esa pantalla de chequeo de disco. Eso nos permitirá recuperar los ficheros que no hayan sido cifrados si iniciamos el ordenador con un CD o un USB de recuperación, como por ejemplo un Live USB con Ubuntu que dé acceso al sistema de ficheros Windows para rescatar esos ficheros a un dispositivo de almacenamiento externo.

98% sure that the name is is perfc.dll Create a file in c:\windows called perfc with no extension and #petya #Nopetya won’t run! SHARE!! https://t.co/0l14uwb0p9
— Amit Serper (@0xAmit) June 27, 2017

Un experto de seguridad llamado Amit Serper ha descubierto una teórica forma de evitar la infección: el ‘kill-switch’ consiste en la creación de unos ficheros de solo lectura en la carpeta C:\Windows\ que tendremos que llamar “perfc”, “perfc.dll” y “perfc.dat”. Según sus pruebas, el malware escanea esa unidad y si encuentra estos ficheros no la infecta.

Aprendiendo la lección (una vez más): copias de seguridad y actualizaciones frecuentes

El ransomware WannaCry ya hizo que muchos tomaran conciencia de lo importante que es mantener sus sistemas operativos, aplicaciones y servicios actualizados para evitar que diversos ciberataques aprovechen potenciales agujeros de seguridad en estos sistemas.

Esa medida se suma a otra igualmente importante: la realización de copias de seguridad frecuentes que al menos pongan a salvo archivos importantes en localizaciones seguras (en la nube o en sistemas de almacenamiento externo).

Es cierto que no siempre es posible para las empresas aplicar las actualizaciones de seguridad lo rápido que deberían, pero aún así algo debe cambiar en la mentalidad de dichas empresas. Los procesos de validación de esas actualizaciones son largos e implican garantizar que las aplicaciones críticas de la empresa no se ven afectadas, pero estos últimos ciberataques dejan claro el coste que puede llegar a tener que asumir una empresa que de repente debe apagar todos sus sistemas para hacer frente a estos ransomware.

En el caso de usuarios finales estos obstáculos no existen, así que os recomendamos hacer uso de esos dos métodos y ganar un poco de tranquilidad. Un disco duro externo de 4 TB cuesta apenas 100 euros, y cualquier ataque de este tipo suele pedir entre 300 y 600 dólares sin que haya garantía total de que nos dén la clave de descifrado que bloqueaba el acceso a nuestros archivos. No parece mala inversión recurrir a una unidad externa como la indicada o al almacenamiento en la nube…

 

Ver información original al respecto en Fuente

 

saludos

ms, 29-6-2017

__________

NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________

Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.

Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.

Los comentarios están cerrados.

 

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies