Y nuestros amigos de Hispasec tambien han editado información al respecto del ciberataque del momento (Petya, o como le llamen)
Petya es el nuevo ransomware que causa estragos en todo el mundo
No han pasado ni dos meses desde que Wannacry hiciera temblar a muchas
de las grandes compañías de todo el mundo cuando otro ransomware similar
vuelve a atacar.
Todo indica que este nuevo ataque se está reproduciendo a gran velocidad
por todo el mundo, aunque por el momento Ucrania parece ser el país más afectado.
Petya (diminutivo ruso de Pedro) actúa de forma similar a
Wannacry, de hecho emplea el mismo exploit conocido como ETERNALBLUE.
También se han detectado casos de afectados en España.
Control segun informe de virustotal:
Imagen del pantallazo que presenta el dicho ransomware:
El mensaje es claro:
“Si ves este texto, tus archivos ya no están accesibles, porque han sido
cifrados. Tal vez estés ocupado buscando una forma de recuperar tus
archivos, pero no malgastes tu tiempo. Nadie puede recuperar tus
archivos sin nuestro servicio de descifrado”.
Tal y como ocurría con Wannacry el virus cifra archivos importantes del
usuario y muestra un mensaje en el que se solicita un rescate para
recuperar la información secuestrada. La lista de extensiones cifradas
es amplia:
.3ds .7z .accdb .ai .asp .aspx .avhd .back .bak .c .cfg .conf .cpp .cs
.ctl .dbf .disk .djvu .doc .docx .dwg .eml .fdb .gz .h .hdd .kdbx .mail
.mdb .msg .mrg .ora .ost .ova .ovf .pdf .php .pmf .ppt .pptx .pst .pvi
.py .pyc .rar .rtf .sln .sql .tar .vbox .vbs .vcb .vdi .vfd .vmc .vmdk
.vmsd .vmx .vsdx .vsv .work .xls .xlsx .xvd .zip
Documentos, bases de datos, hojas de cálculo, correos, archivos
comprimidos… toda la información importante se verá cifrada tras la
actuación de Petya.
Petya no es un malware nuevo, hace más de un año ya empezamos a ver
muestras de este malware. En esta ocasión nos encontramos con una nueva
versión que ha recogido el exploit empleado por Wannacry para su
actuación.
En esta ocasión el rescate solicitado para recuperar la información es
de 300 euros en bitcoins.
Una de las acciones que realiza este malware es cifrar el MBR al
reiniciar, por lo que ya será imposible acceder al sistema operativo y
solo se mostrará una pantalla al arrancar el ordenador. De todas formas
cuenta con un temporizador de una hora para forzar el reinicio. La
recomendación en este caso es desconectar el equipo de la red hasta
actualizar, pero no apagarlo y evitar cualquier tipo de reinicio
forzado.
Para la infección a través de la red emplea técnicas de movimiento
lateral a través de WMIC. Estas técnicas permiten al malware conseguir
información de los sistemas de la red incluso sin necesidad de
utilidades adicionales como RAT.
Los parches a aplicar en este caso son los mismos que para Wannacry. Es
decir, aquellos sistemas que ya aplicaron los parches necesarios
anteriormente no pueden verse afectados. Las actualizaciones publicadas
por Microsoft para evitar esta vulnerabilidad se encuentran bajo el
boletín MS17-010
Ver información original al respecto en Fuente:
http://unaaldia.hispasec.com/2017/06/petya-es-el-nuevo-ransomware-que-causa.html
NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________
Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.
Los comentarios están cerrados.