Petya Ransomware se esparce muy rápido en todo el mundo, igual que WannaCry

0
432
views

El Ransomware WannaCry no está muerto todavía y otro ataquea está causando caos en todo el mundo, cerrando computadoras en corporaciones, fuentes de energía y bancos, en Rusia, Ucrania, España, Francia, Reino Unido, India, pidiendo de rescate  300 bitcoins.

Una nueva variante de Petya ransomware, también conocida como Petwrap, se está propagando rápidamente con la ayuda de la misma vulnerabilidad SMBv1 de Windows que WannaCry abusó para infectar a 300 000 sistemas y servidores en todo el mundo en sólo 72 horas el mes pasado.

Muchas víctimas también han informado que Petya también ha infectado sus sistemas de parches.

“Petya utiliza el exploit de NSA Eternalblue, también se propaga en las redes internas con WMIC y PSEXEC, por eso los sistemas de parches pueden ser afectados”.

Mikko Hypponen confirma, Director de Investigación de F-Secure.

Petya es un ransomware que funciona muy diferente de cualquier otro malware. A diferencia de otros tradicionales ransomware, Petya no cifra archivos en un sistema de destino uno por uno.

En su lugar, Petya reinicia las computadoras de las víctimas y cifra la tabla de archivos maestros (MFT/Master File Table) del disco duro, dañando el registro de arranque maestro (MBR/Master Boot Record), restringiendo el acceso al sistema completo aprovechando la información sobre nombres de archivos y ubicación en el disco físico.

Petya reemplaza el MBR de la computadora con su propio código malicioso que muestra la nota de rescate y deja los equipos incapaces de arrancar.

No se debe pagar el rescate, ya que no se recuperarán los archivos

A los usuarios infectados se les aconseja que no paguen el rescate porque los hackers detrás de Petya no pueden recuperar sus correos electrónicos.

Posteo, el proveedor de correo electrónico alemán, ha suspendido la dirección de correo electrónico, es decir wowsmith123456@posteo.net, que fue utilizado por los criminales para comunicarse con las víctimas después de obtener el rescate para enviar las claves de descifrado.

23 víctimas han pagado en Bitcoins a la dirección ‘1Mz7153HMuxXTuR2R1t78mGSdzaAtNbBWX’ para descifrar sus archivos infectados por Petya, que son aproximadamente 6775 dólares.

Imágenes del último ataque de Petya, compartida en Twitter, enseña que el ransomware muestra un texto, exigiendo un valor de 300 Bitcoins. El texto dice lo siguiente:

“Si ve este texto, entonces sus archivos ya no son accesibles, porque están bloqueados .Tal vez usted está ocupado buscando una manera de recuperar sus archivos, pero no pierda su tiempo.Nadie puede recuperar sus archivos sin nuestro servicio. “

Según un reciente análisis de VirusTotal, actualmente sólo 16 de los 61 servicios antivirus detectan con éxito el malware de Petya.

Petya Ransomware ataca Bancos, Telecomunicaciones, Empresas y Compañías de Energía

Petya ya ha infectado a la estatal rusa Rosneft, los proveedores de electricidad ucranianos, “Kyivenergo” y “Ukrenergo”, en las últimas horas.

“Fuimos atacados, hace dos horas tuvimos que apagar todas nuestras computadoras, estamos esperando el permiso del Servicio de Seguridad de Ucrania para volver a conectarlas”, dijo el servicio de prensa de Kyivenergo.

Hay informes de varios bancos, incluyendo el Banco Nacional de Ucrania  y Oschadbank, así como otras empresas que confirman que han sido afectados por los ataques de Petya.

Maersk, una compañía de logística internacional, también ha confirmado en Twitter que los últimos ataques de Petya han cerrado sus sistemas de IT en múltiples ubicaciones y unidades de negocio.

“Podemos confirmar que los sistemas de IT de Maersk están abajo en múltiples sitios y unidades de negocio. Estamos afirmando la situación. La seguridad de nuestros empleados, nuestras operaciones y el negocio de los clientes es nuestra prioridad. Nos actualizaremos cuando tengamos más información.” Dijo la compañía.

El ransomware también afecta a múltiples estaciones de trabajo en la sucursal de la compañía minera Evraz.

Los ataques más graves reportados fueron en el metro local de Ucrania y el aeropuerto Boryspil de Kiev.

Tres operadores ucranianos de telecomunicaciones, Kyivstar, LifeCell, Ukrtelecom, también se ven afectados en el último ataque Petya.

Symantec, la empresa de seguridad cibernética, también ha confirmado que Petya está abusando del explot SMBv1 EternalBlue, al igual que WannaCry, y aprovechando las máquinas Windows sin parches.

EternalBlue es un exploit de SMB de Windows filtrado por el infame grupo de hackers Shadow Brokers en sus datos filtrados de abril, que afirmó haberlo robado de la agencia de inteligencia estadounidense junto con otros exploits de Windows.

Microsoft ha reparado desde entonces la vulnerabilidad para todas las versiones de los sistemas operativos Windows, pero muchos usuarios siguen siendo vulnerables, y una serie de variantes de malware están aprovechando la falla para entregar el ransomware.

Hace sólo tres días, hubo un ataque de WannaCry que golpeó a Honda Motor Company y alrededor de 55 cámaras de velocidad y semáforos en Japón y Australia.

Es sorprendente que incluso después de conocer el tema de WannaCry durante bastante tiempo, grandes corporaciones y empresas aún no han implementado medidas de seguridad apropiadas para defenderse contra los hackers.

Como evitar caer en este tipo de ataques

Aplicar parches contra EternalBlue (MS17-010) y desactivar el protocolo de intercambio de archivos SMBv1 en sus sistemas y servidores Windows.

Dado que Petya también está aprovechando las herramientas WMIC y PSEXEC para infectar los equipos Windows completamente parchados, también se recomienda deshabilitar la línea de comandos de administración de equipos de administración de Windows.

Como prevenir la infección y un Kill-Switch para Petya

El investigador encuentra que Petya cifra los sistemas después de reiniciar el equipo. Así que si el sistema está infectado con Petya e intenta reiniciar, simplemente no se debe encender la computadora de nuevo.

“Si la computadora se reinicia y ve este mensaje, apágalo inmediatamente, este es el proceso de bloqueo, si no se enciende, los archivos están bien”. HackerFantastic twitteó. “Utilizar un LiveCD o una máquina externa para recuperar archivos”

PT Security, una empresa de ciberseguridad en Reino Unido y Amit Serper de Cybereason, han descubierto un Kill-Switch para Petya. Según un tweet, la compañía ha aconsejado a los usuarios crear un archivo, por ejemplo, “C: \ Windows \ perfc” para evitar la infección por ransomware.

Para protegerse contra cualquier ataque de ransomware, siempre debe ser sospechoso de abrir correos no deseados y documentos enviados a través de un correo electrónico y nunca debe hacer clic en los enlaces dentro de ellos a menos que verifique la fuente.

Para tener siempre un control estricto de sus datos, mantenga una buena rutina de respaldo en su lugar que haga sus copias a un dispositivo de almacenamiento externo que no siempre esté conectado a su PC.

Además, asegúrese de ejecutar una buena y eficaz suite de seguridad antivirus en su sistema y mantenerla actualizada. Lo más importante, siempre navegar por Internet con seguridad.

 

Toda la información proporcionada en este medio es para fines educativos, en ningún caso alguno se hace responsable e cualquier mal uso de la información. Toda la información es para el desarrollo e investigación de métodos de seguridad informática.

No olvides visitar nuestra hacking shop

shop