miércoles, 8 de noviembre de 2017

ALERTA, NUEVO RANSOMWARE


ALERTA, NUEVO RANSOMWARE





El día 27 de Junio se dio a conocer un nuevo virus de tipo RANSOMWARE llamado “Petya” (Es una variante del mismo virus NotPetya o GoldenEye), el cual está causando estragos por ser más resistente que “WannaCry”. El ataque ha afectado a todo tipo de empresas y organismos estatales en Europa, en países como Ucrania (llegando incluso a los ordenadores que miden la radiación en Chernobil) o Francia (a Auchan o a la compañía ferroviaria del páis, SNCF).

Petya ha aprendido de los fallos de WannaCry, aunque no es suficiente
Entre los afectados se encuentran más de 2.000 organismos que van desde empresas como Maersk, dedicada al transporte y logística de containers, Merck, una compañía médica, e incluso al gobierno y bancos de Ucrania, así como hasta los ordenadores que usan algunas cadenas de supermercados.
Petya no sólo aprovecha una de las herramientas de hackeo de la NSA, sino que usa hasta tres

El código de Petya, según han analizado ya algunos expertos de seguridad, no incluye ese error. WannaCry se propagaba como un gusano por Internet en ordenadores vulnerables y no parcheados con Windows. Petya, por otro lado, incluye otras herramientas para propagarse incluso en ordenadores parcheados, usando documentos de Office en formato Excel o Word para lanzar macros maliciosos.

Junto con este fallo, Petya usa otra vulnerabilidad de la NSA llamada EternalRomance, y parcheada por Microsoft también en marzo, así como otra llamada EsteemAudit enfocada a Windows XP y Windows Server 2003, la cual Microsoft parcheó de manera excepcional hace un par de semanas.

Una vez que Petya está dentro de una red, roba las credenciales de acceso de administrador, obteniendo control total sobre herramientas de manejo del sistema como Windows PsExec y WMI (Windows Management Instrumentation). Con sólo acceder a estos permisos en un ordenador, el ransomware puede infectar al resto de la red, lo cual tiene en vilo a los administradores de ordenadores en empresas.  Otro fallo que cometió WannaCry es no establecer una dirección única de pago por cada ordenador infectado, ya que usaron sólo cuatro y no tuvieron manera de identificar quien pagaba para enviarle la clave de descifrado. La variante de Petya simplemente añade un paso manual para cerciorarse: enviar una prueba de pago de los 300 dólares en Bitcoin a una dirección de email, lo cual puede dar alas a pensar que pueden dar la clave de descifrado de los ordenadores, aunque esto no suele ocurrir y siempre es recomendable no pagar. Además, el email al que se envían esas pruebas, gestionado por Posteoha sido eliminado, por lo que el hacker ya no tiene acceso a esa cuenta.  Por último, mientras que WannaCry cifraba los archivos del PC, Petya obliga a reiniciar el PC para ejecutarse en el arranque y cifrarlo, por lo que, si te aparece un mensaje de Check Disk al arrancar el PC, tienes que apagarlo de inmediato, ya que así puedes salvar el mayor número de archivos posible. Para impedir que se distribuya por una red local, es aconsejable bloquear la ejecución del archivo C:\Windows\perfc.dat.



Te invitamos a mantenerte alerta o tener un servicio de antivirus con licencia original para no verte afectado. 

0 comentarios:

Publicar un comentario