Alerta ransomware

Aviso a administradores de sistemas sobre ransomware Petya

28/06/2017
Petya es un ransomware que se ha esparcido de forma masiva a nivel mundial en las últimas horas. Conocé a qué sistemas afecta y cómo protegerte. [Actualización 28/06 12:00].
Candado sobre pantalla

Descripción

Petya es un ransomware que se ha esparcido de forma masiva a nivel mundial en las últimas horas.

La infección inicial se produce mediante un archivo Office infectado (CVE-2017-0199). 

Este archivo normalmente llega mediante un correo electrónico que engaña al usuario para que lo descargue. Al infectar el equipo el malware se propaga por la red explotando la vulnerabilidad MS17-010 descripta en el boletín de seguridad de Microsoft [1] mencionado al pie de la nota, la cual permite ejecutar código de forma remota a través de samba (SMB). Esta vulnerabilidad es la misma utilizada por el WannaCry (ver nota). 

En algunos casos se ha detectado que el archivo viene protegido con contraseña la cual viene incluida en el cuerpo del correo.

El tiempo que transcurre desde que el usuario abre el archivo malicioso hasta que su sistema es cifrado es de hasta 1 hora. 

Un equipo infectado en la red que posea credenciales administrativas puede esparcir la infección por la red usando las utilidades WMIC y PSEXEC de Windows.

El CERTuy desalienta el pago de cualquier Ransomware. Para éste, en particular, fue deshabilitada la cuenta de correo (wowsmith123456@posteo.net) para contactar al atacante. Por este motivo, aunque se pague el rescate, el usuario afectado  no podrá obtener la contraseña para desencriptar los archivos.

Sistemas afectados


Microsoft Windows Vista SP2
Windows Server 2008 SP2 y R2 SP1
Windows 7 
Windows 8.1
Windows RT 8.1
Windows Server 2012 y R2
Windows 10
Windows Server 2016
Windows server 2003
Windows XP
Microsoft Office 2013 SP1
Microsoft Office 2007 SP3
Microsoft Office 2016
Microsoft Office 2010 SP2
 

Tipo de impacto

Cifrado de archivos en equipos de usuario y servidores: 3ds, 7z, accdb, ai, asp, aspx, avhd, back, bak, c, cfg, conf, cpp, cs, ctl, dbf, disk, djvu, doc, docx, dwg, eml, fdb, gz, h, hdd, kdbx, mail, mdb, msg, nrg, ora, ost, ova, ovf, pdf, php, pmf, ppt, pptx, pst, pvi, py, pyc, rar, rtf, sln, sql, tar, vbox, vbs, vcb, vdi, vfd, vmc, vmdk, vmsd, vmx, vsdx, vsv, work, xls, xlsx, xvd, zip. 

Recomendaciones

  • Aplicar los parches de seguridad adecuados[1] [2].
  • En caso de contar con equipos que no dispongan de parches de seguridad o hayan sido infectados, aislarlos de los demás.
  • Bloquear las comunicaciones 137/UDP y 138/UDP, 139/TCP 445/TCP.
  • Utilizar Applocker para bloquear la ejecución de cualquier archivo con nombre "perfc.dat".
  • Realizar respaldos de la información en dispositivos externos que no estén conectados a la red. 
  • Mantener los equipos con las últimas actualizaciones, tanto del sistema operativo como de los programas instalados.
  • Mantener actualizado el antivirus en los equipos.
  • Evitar abrir archivos recibidos por correo electrónico de remitentes desconocidos. 
  • Evitar instalar aplicaciones o programas de fuentes no oficiales. 

Más información

[1]  Vulnerabilidad utlizada: MS17-010 EternalBlue/DoublePulsar


[2] Parches CVE.2017.0199 

Etiquetas

Amenazas y alertas Comunidad Técnica Seguro te conectás