Petya es el nuevo ransomware que causa estragos en todo el mundo

No han pasado ni dos meses desde que Wannacry hiciera temblar a muchas de las grandes compañías de todo el mundo cuando otro ransomware similar
vuelve a atacar.

Todo indica que este nuevo ataque se está reproduciendo a gran velocidad por todo el mundo, aunque por el momento Ucrania parece ser el país más
afectado. Petya (diminutivo ruso de Pedro) actúa de forma similar a Wannacry, de hecho emplea el mismo exploit conocido como ETERNALBLUE.
También se han detectado casos de afectados en España.

Imagen de Petya pidiendo el rescate:

El mensaje es claro:
“Si ves este texto, tus archivos ya no están accesibles, porque han sido cifrados. Tal vez estés ocupado buscando una forma de recuperar tus
archivos, pero no malgastes tu tiempo. Nadie puede recuperar tus archivos sin nuestro servicio de descifrado”.

Tal y como ocurría con Wannacry el virus cifra archivos importantes del usuario y muestra un mensaje en el que se solicita un rescate para
recuperar la información secuestrada. La lista de extensiones cifradas es amplia:
.3ds .7z .accdb .ai .asp .aspx .avhd .back .bak .c .cfg .conf .cpp .cs .ctl .dbf .disk .djvu .doc .docx .dwg .eml .fdb .gz .h .hdd .kdbx .mail .mdb .msg .mrg .ora .ost .ova .ovf .pdf .php .pmf .ppt .pptx .pst .pvi .py .pyc .rar .rtf .sln .sql .tar .vbox .vbs .vcb .vdi .vfd .vmc .vmdk
.vmsd .vmx .vsdx .vsv .work .xls .xlsx .xvd .zip Documentos, bases de datos, hojas de cálculo, correos, archivos comprimidos… toda la información importante se verá cifrada tras la actuación de Petya.

Petya no es un malware nuevo, hace más de un año ya empezamos a ver muestras de este malware. En esta ocasión nos encontramos con una nueva
versión que ha recogido el exploit empleado por Wannacry para su actuación.

En esta ocasión el rescate solicitado para recuperar la información  es de 300 euros en bitcoins.

Una de las acciones que realiza este malware es cifrar el MBR al reiniciar, por lo que ya será imposible acceder al sistema operativo y solo se mostrará una pantalla al arrancar el ordenador. De todas formas cuenta con un temporizador de una hora para forzar el reinicio. La recomendación en este caso es desconectar el equipo de la red hasta actualizar, pero no apagarlo y evitar cualquier tipo de reinicio forzado.

Para la infección a través de la red emplea técnicas de movimiento lateral a través de WMIC. Estas técnicas permiten al malware conseguir información de los sistemas de la red incluso sin necesidad de utilidades adicionales como RAT.

Los parches a aplicar en este caso son los mismos que para Wannacry. Es decir, aquellos sistemas que ya aplicaron los parches necesarios anteriormente no pueden verse afectados. Las actualizaciones publicadas por Microsoft para evitar esta vulnerabilidad se encuentran bajo el boletín MS17-010 y son las siguientes según sistema:
Para Windows 8.1
http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012216
Para Windows 10
http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012606
Para Windows 7 y Server 2008
http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012212
Windows XP, Server2003 y 8
https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/

Muestra de Petya en Virustotal

https://twitter.com/karlhiramoto/status/879726653924139008

Al igual que ocurría con Wannacry se buscaba un “botón de desactivación”, un dominio que en caso de no existir podría detener la cadena de propagación. Un investigador español ha encontrado el dominio coffeeinoffice.xyz que ya ha sido desactivado. Aunque aun no se ha comprobado que eso haya parado la propagación.

Por otra parte, la dirección de correo del atacante a través de la cual se realiza el pago está bloqueada, por lo cual será imposible llegar a realizar el pago.

Sin duda una de las imágenes del ataque queda reflejada en esta foto de un supermercado ucraniano:

Está claro. No aprendemos.
http://unaaldia.hispasec.com/2017/05/wannacry-y-las-lecciones-que-nunca.html

Opina sobre esta noticia:
http://unaaldia.hispasec.com/2017/06/petya-es-el-nuevo-ransomware-que-causa.html#comment-form

Más información:

una-al-dia (12/05/2017) Un ransomware ataca a múltiples compañías
http://unaaldia.hispasec.com/2017/05/un-ransomware-ataca-multiples-companias.html

una-al-dia (17/05/2017) WannaCry y las lecciones que nunca aprendemos
http://unaaldia.hispasec.com/2017/05/wannacry-y-las-lecciones-que-nunca.html

Identificado ataque de ransomware contra varias multinacionales con sede en España
https://www.ccn-cert.cni.es/seguridad-al-dia/avisos-ccn-cert/4667-ccn-cert-av-04-17-identificado-ataque-de-ransomware-contra-varias-multinacionales-con-sede-en-espana.html

VirusTotal
https://virustotal.com/fr/file/027cc450ef5f8c5f653329641ec1fed91f694e0d229928963b30f6b0d7d3a745/analysis/
https://virustotal.com/es/file/71e48c8cfe11a823ed3d26793fe0c925621a0d693d4925538de2ec7313062d67/analysis/

Wanna Cry Ransomware : Update 5/21/2017 FIX
https://answers.microsoft.com/en-us/windows/forum/windows_10-security/wanna-cry-ransomware/5afdb045-8f36-4f55-a992-53398d21ed07

una-al-dia (30/03/2016) Petya, un nuevo ransomware que impide el acceso al disco duro
http://unaaldia.hispasec.com/2016/03/petya-un-nuevo-ransomware-que-impide-el.html

 

 

 

 

 

 

 

 

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *