Ransomware PETYA (NotPetya/SortaPetya/Petna): la nueva Ciberamenaza. Detalles, herramientas y Soluciones ANTI Ransomware

Publicado el por Ricardo V. González Darkin

Una nueva oleada de Ransomware se está llevando desde el día de ayer y que ya ha realizado más de 2000 ataques (según la BBC) en Europa y Estados Unidos: PETYA (NotPetya/SortaPetya/Petna) en su versión Petrwrap ha vuelto a infectar organizaciones civiles y gubernamentales alrededor del mundo, los ataques continuan.

Ya la segunda semana de este mes de Junio alertábamos a nuestros clientes a través de una comunicación interna, que un nuevo ataque de Ransomware se esperaba:

SE ESPERAN NUEVOS ATAQUES. Mientras, nosotros mantenemos sus sistemas actualizados con la SOLUCION NOVA

El martes de esta semana Microsoft ha liberado nuevas actualizaciones de seguridad críticas. En esta ocasión indican que se han liberado nuevamente vulnerabilidades expuestas por Shadow Brokers, y que existe un alto riesgo de que sean explotadas por naciones o grupos ciber terroristas.

Microsoft releases additional updates to protect against potential nation-state activity

Al igual que Microsoft, si usted no esta suscrito a la SOLUCION NOVA, recomendamos la instalación y aplicación de estos parches lo antes posible, dado que todas ellas son de ejecución remota en protocolos como RDP, WEBDAV, SMB, RPC.

LO QUE SABEMOS HASTA AHORA DEL RANSOMWARE PETYA (NotPetya/SortaPetya/Petna)

NOMBRE: Variantes de Ransomware PETYA (NotPetya/SortaPetya/Petna)

VERSION: Petrwrap

MODO DE PROPAGACION: utiliza 2 exploits diferentes que se valen de 2 vulnerabilidades:

MODO DE INFECCION: Lo más preocupante es que algunos sitios de seguridad coinciden en afirmar QUE EL SOLO HECHO DE ESTAR CONECTADO A INTERNET PUEDE EJECUTAR EL CODIGO DE INFECCION.

SI VE ESTA PANTALLA, APAGUE INMEDIATAMENTE EL ORDENADOR Y DESCONECTELO DE LA RED (PANTALLA DE ORDENADOR EN PROCESO DE INFECCION):

PETYA RANSOMWARE. Pantalla de equipo en proceso de infección

PANTALLA ORDENADOR INFECTADO:

 

 

TIPO DE ATAQUE:

Encriptado de DATOS y Encriptado del sector de arranque del disco duro, impidiendo el inicio del equipo

PAISES AFECTADOS (según Kaspersky):

  • Rusia
  • Ucrania
  • Reino Unido
  • Polonia
  • Italia
  • Francia
  • Alemania
  • Estados Unidos

ORGANIZACIONES IDENTIFICADAS QUE HAN SIDO AFECTADAS POR ESTE ATAQUE.

  • Compañía Estatal de Energía de Ucrania
  • Planta de Energía Nuclear de Chernobyl
  • MAERSK – Compañía de Transporte Marítimo
  • MODELEZ (fabricantes de Oreo y Toblerone)
  • TNT
  • Merck Farmaceutica
  • Heritage Valley Health System
  • Metro de Kiev
  • WPP – Empresa de Publicidad de Reino Unido

Según se comenta en la red, el hecho de que una compañía de Corea del Sur llamada NAYANA haya pagado 1MM $ por la recuperación de sus archivos ha incentivado a los Hackers a realizar nuevos ataques.

Recomendaciones del CENTRO CRIPTOLOGICO NACIONAL ESPAÑOL de ayer a las 20:35 (ENLACE)

Como medidas de prevención y mitigación, el CCN-CERT recomienda lo siguiente:

  • Actualizar el sistema operativo y todas las soluciones de seguridad, así como tener el cortafuegos personal habilitado.
  • Los accesos administrativos desde fuera de la organización sólo deben llevarse a cabo mediante protocolos seguros.
  • Mantener una conducta de navegación segura, empleando herramientas y extensiones de navegador web completamente actualizado.
  • Activar la visualización de las extensiones de los ficheros para evitar ejecución de código dañino camuflado como ficheros legítimos no ejecutables (Deshabilitado por defecto).
  • Deshabilitar las macros en los documentos de Microsoft Office y otras aplicaciones similares (por defecto esta función esta deshabilitada y siempre HAY QUE AUTORIZARLA EXPLICITAMENTE PARA QUE SE EJECUTE UNA MACRO).

Recomendaciones de PCNOVA

 Descargar aplicaciones solamente desde sitios oficiales y leer los comentarios de otros usuarios para comprobar que se trata de la aplicación que estábamos buscando.

  • Si recibe un email y NO CONOCE EL REMITENTE, NO ABRA EL ARCHIVO. Es preferible que pierda un par de minutos llamando a esta persona u organización por teléfono y consultarle si ciertamente le ha enviado un correo con un archivo adjunto a que se vea infectado por Ransomware.
  • Utilizar una aplicación de seguridad confiable y mantenga las actualizaciones al día.
  • Realizar copias de seguridad de los datos continuamente.
  • En caso de haber sido infectado, no pagar nunca el rescate porque no se garantiza que los archivos se puedan recuperar.
  • Por favor, NO SIGA ENLACES DE NINGUN TIPO DESDE OTRAS FUENTES ADEMÁS DEL CORREO ELECTRÓNICO COMO MENSAJERÍA INSTANTÁNEA Y REDES SOCIALES, INCLUSO SI CONOCE AL USUARIO.
  • Por favor, NO UTILICE MEMORIAS USB QUE HAYAN SIDO CONECTADAS EN FUENTES DESCONOCIDAS (BIBLIOTECAS, UNIVERSIDADES, ETC.)PARA TRAER INFORMACÍON A SU ORDENADOR O AL CENTRO DE TRABAJO. Aunque NO EXISTE POR AHORA NINGUNA EVIDENCIA DE QUE ESTA PUEDE SER UNA FUENTE DE PROPAGACIÓN, PODRÍA CREARSE UNA VARIANTE DE ESTE MALWARE EN LAS PRÓXIMAS HORAS O DÍAS QUE SI LO PERMITA.
  • Si conoce a alguna persona que aún este utilizando equipos con Windows XP, Windows Server 2003 y 2008, POR FAVOR HAGALE SABER DE ESTE ATAQUE Y RECOMIENDELE NO ENCENDER SU EQUIPO HASTA TANTO NO HAYA VERIFICADO QUE EL PARCHE DE SEGURIDAD DE MICROSOFT CAUSANTE DE LA PROPAGACIÓN ESTA INSTALADO.

Solicitamos una vez más MANTENERSE ALERTAS ANTE CUALQUIER COMPORTAMIENTO ANOMALO DEL EQUIPO Y NOTIFICAR A TODO LAS PERSONAS DE SU ORGANIZACIÓN, DE ESTE NUEVO ATAQUE DE RANSOMWARE.

Recordamos también que en PCNOVA hemos establecido la Campaña #NOALRANSOMWARE donde establecemos pautas, recomendaciones y ofrecemos una solución ANTI RANSOMWARE segura, confiable y de rápido despliegue PARA BLOQUEAR CUALQUIER TIPO DE ATAQUE DE DIA CERO, como son los ataques de Ransomware.

En caso de que usted no sea nuestro cliente y desee PROTEGERSE INMEDIATAMENTE frente a las amenazas de Ransomware, contáctenos a través del siguiente formulario y en un breve plazo sus equipos estarán protegidos:

QUE HACER EN CASO DE NO CONTAR CON ASISTENCIA TECNICA INFORMATICA PROFESIONAL

En caso de no contar con una persona o empresa que le asista frente a este ataque de Ransomware, existe una sencilla «vacuna» que se esta proponiendo desde la web de BleepingComputer para procurar BLOQUEAR el posible ataque a su(s) equipo(s)

https://www.bleepingcomputer.com/news/security/vaccine-not-killswitch-found-for-petya-notpetya-ransomware-outbreak/

En caso de que ya haya sido afectado, existe UNA HERRAMIENTA que posiblemente ayude a Desencriptar sus datos.

https://www.bleepingcomputer.com/news/security/petya-ransomwares-encryption-defeated-and-password-generator-released/

Una vez más agradecemos su contacto y quedamos a las órdenes de nuestros clientes para aclarar sus dudas o consultas a través de nuestros canales regulares en redes sociales o directamente:

Ricardo González Darkin

Consultor Técnico / Especialista en Soluciones IT para Educación y la Pequeña y Mediana Empresa

Proveedor de Servicios Gestionados, Cloud – Conectividad – Comunicación – Impresión – Movilidad –  Seguridad – Virtualización. Consultoría especializada en Soluciones IT para Emprendedores, Sector Educativo, Sector Comercio /Restauración y la Pequeña y Mediana Empresa.  Servicios Gestionados para Windows, OSX y Linux , Servicios en la nube (Office 365 – Windows Intune – Windows Azure),  Conectividad (TP-LINK – DLINK – Ubiquity), Comunicaciones Unificadas, Internet y Telefonía IP (Office 365 – LCRCom – Innovaphone ), Servicios Gestionados de Impresión MPS Multimarca, Movilidad (Windows Phone – Android), Seguridad Perimetral, Seguridad del Endpoint y Seguridad de los datos, Virtualización para Empresas y Educación (NComputing).  Servicio Técnico, mantenimiento Informático y Asistencia remota.

Deja una respuesta