Petya o NoPetya este es el dilema!

Buenos días en esta entrega realice un cuadro resumen de los datos actuales del ransoware actual “Petya o NoPetya”, esto cuadro resumen es realizado de una recopilación de datos de Internet a la fecha de publicación de esta entrega.

Nombre WannaCry2, “variante de Petya”, NotPetya, “Schroedinger’s Pet(ya)” llamado así por Kaspersky, Petia, Petrwrap y exPetr
Familia Petya (sea Pteya.A, Petya.D, o PetrWrap),

WannaCry (que no lo es)

Ransom: Win32 / Petia

Países Afectados 64 países, entre ellos Ucrania, Rusia, Polonia, Italia, Bélgica, Brasil, Alemania, Rusia y los Estados Unidos.
Tipo Este tiene capacidades de gusanos, lo que permite que se mueva lateralmente a través de las redes infectadas.
Vectores de Ataque Vector de infección una campaña de correo de phishing en que se indica instalar una actualización de una versión troyanizadas de este software de contabilidad de la suite Médoc (empresa ucraniana).

 

Método Propagación Puede estar propagando a través de la EternalBlue exploit utiliza el exploit SMB únicamente en parte de la infección, haciendo uso de MimiKatz para la extracción de credenciales del proceso lsass.exe, y WMIC o PSExec para el movimiento lateral.
Funcionamiento El cifrado del sistema no se produce de manera inmediata, sino que espera un intervalo aleatorio entre diez y sesenta minutos para el reinicio del sistema, programado mediante schtasks y shutdown.exe. Tras el reinicio se cifra la tabla MFT en las particiones NTFS, sobreescribiendo de ese modo el MBR con un loader donde se incluye la nota del ransomware.

 

Extensiones Cifradas
.3 ds .7z Accdb .ai
.áspid .aspx .avhd .espalda
.bak .do .cfg .conf
.cpp .cs .ctl .dbf
.disco .djvu .doc .docx
.dwg .eml .fdb .gz
.marido .hdd .kdbx .correo
.mdb .msg nrg .ora
.ost .óvulo .ovf .pdf
.php .pmf .ppt .pptx
Pst .pvi .py .pyc
.rar .rtf .sln .sql
.alquitrán .vbox .vbs .vcb
.vdi .vfd .vmc vmdk
.vmsd .vmx .vsdx .vsv
.trabajo .xls .xlsx .xvd
.cremallera      
Forma de Pago Solicitan 300 dólares de rescate en bitcoin. (Teniendo actualmente 45 transacciones)

Seguimiento de Pagos:

http://blockchain.info/address/1Mz7153HMuxXTuR2R1t78mGSdzaAtNbBWX

 

Contramedidas ·         Actualización de todos los parches de seguridad pendientes.

·         Mantener los antivirus y sistemas de seguridad actualizados.

·         Utilice un usuario sin privilegios en trabajo diario, usuario con permisos de administrador pera mantenimiento de sistemas.

·         No reutilizar contraseñas para diferentes servicios, y no compartir contraseñas entre varios usuarios.

·         Utilizar la función de AppLocker que desactiva la ejecución de un archivo llamado perfc.dat y la utilidad PSExec de Sysinternals Suite.

·         Instala todas las actualizaciones de seguridad para Windows. La que soluciona bugs explotados por EternalBlue.

·         Como una acción prioritaria la prevención, actualizar cualquier sistema con  MS17-010  (https://technet.microsoft.com/library/security/MS17-010), si es que aún no contienen el parche.

 

Solución Preventiva (No Validada) Creación de ficheros: C:\Windows\perfc, perfc.dll, perfc.dat

 

Recuperar los archivos ·  El virus cifra los archivos luego del reboot de la PC, si un sistema se afectó se puede apagar y no volver encender si la maquina enciende el proceso de cifrado inicia. Se podría utilizar un LiveCD para recuperar los archivos

·   Utilizar la herramienta llamada (gratuita) Petya Sector Extractor.

Imagen de referencia:

petya

Referencias:

 

 

Advertisements

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s