Aviso Petya Ransomware (Usuarios sistemas Windows)

Posted by in Redes, Seguridad

Ante la campaña de ransomware detectada durante el día de ayer, que afecta a sistemas Windows informamos:
El ataque recibido en el e-mail puede explotar alguna vulnerabilidad de Microsoft Office que, según diversas investigaciones podría ser la CVE-2017-0199, Seguidamente se propagaría a través de infecciones en las carpetas compartidas en la red de la Organización afectada, intentando utilizar las vías de infección del exploit que aprovecha la vulnerabilidad de Microsoft MS 17-010.
En el caso de que el sistema estuviera parcheado ante esta vulnerabilidad, el malware utiliza una alternativa basada en la ejecución de la aplicación propietaria del sistema Windows “Psexec” en carpetas compartidas sobre el sistema víctima.
En las pruebas realizadas en sistemas Windows 10 con privilegios de administrador, el código dañino es detectado y bloqueado por Windows Defender.
Petya reinicia el ordenador de la víctima y encripta la tabla de particiones del disco duro (MFT) infectando el sector de arranque (MBR) dejándolo inoperable imposibilitando el acceso a carpetas y archivos del equipo

Según el análisis de infecciones de virustotal en la actualidad 16 de los 61 antivirus detectan esta variable de ramsonware

Como protegerse de esta variante:
PT Security una empresa británica de cyber seguridfad ha encontrado el interruptor que deshabilita la propagación de este Ransomware Petya
Se recomienda a los usuarios la creacion del fichero llamado perfc sin extensión dentro del directorio Windows quedando «C:\Windows\perfc» prevenir la infección del virus.

Recomendaciones
– Actualización a los últimos parches de seguridad de Office y de Windows.
Aplicar los parches de seguridad EternalBlue (MS17-010) y deshabilitar el protocolo SMBv1 de los sistemas windows
https://technet.microsoft.com/en-us/library/security/ms17-010.aspx
– No abra ningún enlace ni descargue ningún fichero adjunto procedente de un correo electrónico que presente cualquier síntoma o patrón fuera de lo considerado normal o habitual.
– No confíe únicamente en el nombre del remitente. El usuario deberá comprobar que el propio dominio del correo recibido es de confianza. Si un correo procedente de un contacto conocido solicita información inusual contacte con el mismo por teléfono u otra vía de comunicación para corroborar la legitimidad del mismo.
– Antes de abrir cualquier fichero descargado desde el correo asegúrese de la extensión y no se fíe por el icono asociado al mismo.
– No habilite las macros de los documentos ofimáticos incluso si el propio fichero así lo solicita.
– No debe hacerse clic en ningún enlace que solicite datos personales ni bancarios.
Tenga siempre actualizado el sistema operativo, las aplicaciones ofimáticas y el navegador (incluyendo los plugins/extensiones instalados).
– Utilice herramientas de seguridad para mitigar exploits de manera complementaria al software antivirus.
– Evite hacer clic directamente en cualquier enlace desde el propio cliente de correo. Si el enlace es desconocido es recomendable buscar información del mismo en motores de búsqueda como Google o Bing.
– Utilice contraseñas robustas para el acceso al correo electrónico. Las contraseñas deberán ser periódicamente renovadas. Si es posible utilice doble autenticación.

Fuentes:

https://www.ccn-cert.cni.es/seguridad-al-dia/comunicados-ccn-cert/4679-punto-de-situacion-informacion-actualizada-del-ataque-de-ransomware-2.html

http://thehackernews.com/2017/06/petya-ransomware-attack.html