No
han pasado ni dos meses desde que Wannacry hiciera temblar a muchas de las
grandes compañías de todo el mundo cuando otro
ransomware similar vuelve a atacar.
Todo indica que este nuevo ataque
se está reproduciendo a gran velocidad por todo el mundo, aunque por el momento
Ucrania parece ser el país más afectado. Petya (diminutivo ruso de Pedro) actúa
de forma similar a Wannacry, de hecho emplea el mismo exploit conocido como ETERNALBLUE. También se han detectado casos de afectados en España.
 |
| Petya pidiendo el rescate |
El mensaje es claro:
Tal y como ocurría con Wannacry el virus cifra archivos importantes del usuario y muestra un mensaje en el que se solicita un rescate para recuperar la información secuestrada. La lista de extensiones cifradas es amplia:
"Si ves este texto, tus archivos ya no están accesibles, porque han sido cifrados. Tal vez estés ocupado buscando una forma de recuperar tus archivos, pero no malgastes tu tiempo. Nadie puede recuperar tus archivos sin nuestro servicio de descifrado".
Tal y como ocurría con Wannacry el virus cifra archivos importantes del usuario y muestra un mensaje en el que se solicita un rescate para recuperar la información secuestrada. La lista de extensiones cifradas es amplia:
.3ds .7z .accdb .ai .asp .aspx .avhd .back .bak .c .cfg .conf .cpp .cs .ctl .dbf .disk .djvu .doc .docx .dwg .eml .fdb .gz .h .hdd .kdbx .mail .mdb .msg .mrg .ora .ost .ova .ovf .pdf .php .pmf .ppt .pptx .pst .pvi .py .pyc .rar .rtf .sln .sql .tar .vbox .vbs .vcb .vdi .vfd .vmc .vmdk .vmsd .vmx .vsdx .vsv .work .xls .xlsx .xvd .zip
Documentos, bases de datos, hojas de cálculo, correos, archivos
comprimidos… toda la información importante se verá cifrada tras la actuación
de Petya. El rescate solicitado para recuperarla es de 300 euros en bitcoins.
Petya no es un malware nuevo, hace
más de un año ya empezamos a ver muestras de este malware. En esta ocasión
nos encontramos con una nueva versión que ha recogido el exploit empleado por
Wannacry para su actuación.
Una de las acciones que realiza
este malware es cifrar el MBR al reiniciar, por lo que ya será
imposible acceder al sistema operativo y solo se mostrará una pantalla al
arrancar el ordenador. De todas formas cuenta con un temporizador de una hora para forzar el
reinicio. La recomendación en este caso es desconectar el equipo de la red
hasta actualizar, pero no apagarlo y evitar cualquier tipo de reinicio forzado.
Para la infección a través de la
red emplea técnicas de movimiento lateral a través de WMIC. Estas técnicas
permiten al malware conseguir información de los sistemas de la red incluso sin
necesidad de utilidades adicionales como RAT.
Los parches a aplicar en este
caso son los mismos que para Wannacry. Es decir, aquellos sistemas que ya
aplicaron los parches necesarios anteriormente no pueden verse afectados.
Las actualizaciones publicadas
por Microsoft para evitar esta vulnerabilidad se encuentran bajo el boletín MS17-010
y son las siguientes según sistema:
Para Windows 8.1
Para Windows 10
Para Windows 7 y Server 2008
Windows XP, Server2003 y 8
 |
| Una muestra de Petya en Virustotal |
Another #petya sample from a month ago: https://t.co/3n3gCadjKM— Karl Hiramoto (@karlhiramoto) 27 de junio de 2017
Al igual que ocurría con Wannacry se buscaba un "botón de desactivación", un dominio que en caso de no existir podría detener la cadena de propagación. Un investigador español ha encontrado el dominio coffeeinoffice.xyz que ya ha sido desactivado. Aunque aun no se ha comprobado que eso haya parado la propagación
Por otra parte, la dirección de correo del atacante a través de la cual se realiza el pago está bloqueada, por lo cual será imposible llegar a realizar el pago.
Nuestro compañero Fernando Díaz explica en un hilo de Twitter acciones para detenerlo y una "vacuna temporal":
La rutina de cifrado se activará cuando reiniciemos, en el arranque. En caso de ver que se ejecuta un CHKDSK apagar— Fernando (@entdark_) 27 de junio de 2017
... frenaría el proceso. En cualquier caso, es una vacuna temporal. Apagar y sacar los datos es lo ideal.— Fernando (@entdark_) 27 de junio de 2017
Vale desde powershell crear New-Item %unidad%/windows/perfc— Fernando (@entdark_) 27 de junio de 2017
Sin duda una de las imágenes del ataque queda reflejada en esta foto de un supermercado ucraniano:
 |
| Pues hoy no compra nadie |
Está claro. No
aprendemos:
Más información:
una-al-dia (12/05/2017) Un ransomware ataca a múltiples
compañías
una-al-dia (17/05/2017) WannaCry y las lecciones que nunca
aprendemos
Identificado ataque de ransomware contra varias
multinacionales con sede en España
VirusTotal
Wanna Cry
Ransomware : Update 5/21/2017 FIX
Antonio Ropero
Twitter: @aropero
No hay comentarios:
Publicar un comentario