No han pasado ni dos meses desde que Wannacry hiciera
temblar a muchas de las grandes compañías de todo el mundo cuando otro
ransomware similar vuelve a atacar.
Todo indica que este nuevo ataque se está reproduciendo a
gran velocidad por todo el mundo, aunque por el momento Ucrania parece ser el
país más afectado. Petya (diminutivo ruso de Pedro) actúa de forma similar a
Wannacry, de hecho emplea el mismo exploit conocido como ETERNALBLUE. También
se han detectado casos de afectados en España.
Petya pidiendo el rescate
El mensaje es claro:
"Si ves este
texto, tus archivos ya no están accesibles, porque han sido cifrados. Tal vez
estés ocupado buscando una forma de recuperar tus archivos, pero no malgastes
tu tiempo. Nadie puede recuperar tus archivos sin nuestro servicio de descifrado".
Tal y como ocurría con Wannacry el virus cifra archivos
importantes del usuario y muestra un mensaje en el que se solicita un rescate
para recuperar la información secuestrada. La lista de extensiones cifradas es
amplia:
.3ds .7z .accdb .ai .asp .aspx .avhd .back .bak .c .cfg
.conf .cpp .cs .ctl .dbf .disk .djvu .doc .docx .dwg .eml .fdb .gz .h .hdd
.kdbx .mail .mdb .msg .mrg .ora .ost .ova .ovf .pdf .php .pmf .ppt .pptx .pst .pvi .py .pyc .rar .rtf .sln .sql .tar
.vbox .vbs .vcb .vdi .vfd .vmc .vmdk .vmsd .vmx .vsdx .vsv .work .xls .xlsx
.xvd .zip
Documentos, bases de datos, hojas de cálculo, correos,
archivos comprimidos… toda la información importante se verá cifrada tras la
actuación de Petya. El rescate solicitado para recuperarla es de 300 euros en bitcoins.
Petya no es un malware nuevo, hace más de un año ya
empezamos a ver muestras de este malware. En esta ocasión nos encontramos con
una nueva versión que ha recogido el exploit empleado por Wannacry para su
actuación.
Una de las acciones que realiza este malware es cifrar el
MBR al reiniciar, por lo que ya será imposible acceder al sistema operativo y
solo se mostrará una pantalla al arrancar el ordenador. De todas formas cuenta
con un temporizador de una hora para forzar el reinicio. La recomendación en
este caso es desconectar el equipo de la red hasta actualizar, pero no apagarlo
y evitar cualquier tipo de reinicio forzado.
Para la infección a través de la red emplea técnicas de
movimiento lateral a través de WMIC. Estas técnicas permiten al malware
conseguir información de los sistemas de la red incluso sin necesidad de
utilidades adicionales como RAT.
Los parches a aplicar en este caso son los mismos que
para Wannacry. Es decir, aquellos sistemas que ya aplicaron los parches
necesarios anteriormente no pueden verse afectados.
Las actualizaciones publicadas por Microsoft para evitar
esta vulnerabilidad se encuentran bajo el boletín MS17-010 y son las siguientes
según sistema:
Para Windows 8.1 http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012216
Para Windows 10 http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012606
Para
Windows 7 y Server 2008 http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012212
Windows XP, Server2003 y 8 https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/
Más información:
Identificado ataque de ransomware contra varias
multinacionales con sede en España https://www.ccn-cert.cni.es/seguridad-al-dia/avisos-ccn-cert/4667-ccn-cert-av-04-17-identificado-ataque-de-ransomware-contra-varias-multinacionales-con-sede-en-espana.html
VirusTotal
Wanna Cry Ransomware : Update 5/21/2017 FIX https://answers.microsoft.com/en-us/windows/forum/windows_10-security/wanna-cry-ransomware/5afdb045-8f36-4f55-a992-53398d21ed07
Fuente: Hispasec.com