lunes, 10 de julio de 2017

Nuevo brote de ransomware New Petya / NotPetya / ExPetr



Pocas horas han sido suficientes para que varias grandes compañías de diferentes países reportaran la infección, y es probable que la magnitud de la epidemia se expanda aún más.
Aún no está claro qué es lo que debemos esperar de este nuevo ransomware. Algunos creen que puede ser una variación de Petya (sea Pteya.A, Petya.D, o PetrWrap), o que podría ser WannaCry (que no lo es). Los expertos de Kaspersky Lab han concluido que este nuevo malware es significativamente diferente de todas las versiones anteriores de Petya, y es por ello que lo encuadramos dentro de una familia de malware separada. Lo hemos denominado ExPetr (o NotPetya – de forma no oficial).
Parece ser un ataque complejo que involucra diversos vectores de ataque. Lo que sí podemos confirmar es que un exploit modificado de EternalBlue está siendo utilizado para su propagación, por lo menos dentro de redes corporativas. Más información técnica sobre el ataque.

De momento, debes saber que los productos de Kaspersky Lab detectan esta amenaza como:
  • Trojan-Ransom.Win32.ExPetr.a
  • HEUR:Trojan-Ransom.Win32.ExPetr.gen
  • UDS:DangerousObject.Multi.Generic (detectado por Kaspersky Security Network)
  • PDM:Trojan.Win32.Generic (detectado por la funcionalidad System Watcher)
  • PDM:Exploit.Win32.Generic (detectado por la funcionalidad System Watcher)

Recomendaciones para nuestros clientes corporativos

  1. Asegúrate de que Kaspersky Security Network y los componentes de System Watcher se encuentran activados.
  2. Actualiza ahora de forma manual las bases de datos del antivirus
  3. Instala todas las actualizaciones de seguridad para Windows. La que soluciona los bugs explotados por EternalBlue es especialmente importante. Aquí te explicamos cómo hacerlo.
  4. Como una medida adicional de protección puedes usar el Control de Actividad de Aplicaciones, que es un componente de Kaspersky Endpoint Security, para denegar el acceso(y así, la posibilidad de interacción o ejecución) a todos los grupos de aplicaciones al archivo con el nombre perfc.dat y prevenir la ejecución de la utilidad PSExec (que es una parte de Sysinternals Suite)
  5. Alternativamente, usa el Control de Inicio de Aplicaciones, que es un componente de Kaspersky Endpoint Security, para bloquear la ejecución de la utilidad PSExec. Pero, por favor, utiliza el Control de Actividad de Aplicaciones para bloquear perfc.dat.
  6. Configura y activa el modo de modo de Denegación por defecto en el Control de Inicio de Aplicaciones, para asegurar y reforzar una defensa proactiva contra éste y otros ataques.
  7. También puedes utilizar la función de AppLocker para desactivar la ejecución del mencionado archivo perfc.dat y la utilidad PSExec.

Consejos para usuarios domésticos

Parece que los usuarios particulares han sido menos afectados por esta amenaza, ya que los cibercriminales que están detrás se han dirigido principalmente a grandes empresas. Sin embargo, una protección efectiva nunca sobra. Esto es lo que puedes hacer:
  1. Haz una copia de seguridad de tus datos. Siempre es una buena idea hacerlo y más en tiempos turbulentos.
  2. Si estás usando una de nuestras soluciones de seguridad, asegúrate de que Kaspersky Security Network y System Watcher están activados.
  3. Actualiza manualmente la base de datos del antivirus. Hazlo ahora, no te llevará mucho tiempo.
  4. Instala todas las actualizaciones de seguridad de Windows. La que arregla la vulnerabilidad explotada por EternalBlue es especialmente importante. Aquí tienes como hacerlo.

No pagues el rescate

De acuerdo con la actualización de Motherboard, el proveedor alemán de correo electrónico, Posteo, ha cerrado la dirección de correo electrónico que se suponía que iba a ser utilizada por las víctimas para contactar a los extorsionadores, confirmar las transacciones de bitcoins y recibir las claves de descifrado. Lo que esto significa es que las víctimas que pretendían pagar a los criminales ya no podrán recuperar sus archivos. En Kaspersky Lab, no abogamos por pagar el rescate, y en este caso parece ser inútil de todos modos.
Actualización: Mucho más que eso, el análisis de nuestros expertos indica que nunca hubo mucha esperanza para las víctimas de recuperar sus archivos.
Los investigadores de Kaspersky Lab han analizado el alto nivel de código de la rutina de cifrado y han determinado que, tras el cifrado del disco, los responsables de esta amenaza no podrían descifrar los discos de las víctimas.  Para descifrarlo, el autor de esta amenaza necesita el ID de la instalación. En versiones anteriores de ransomware supuestamente parecidos a Petya/Mischa/GoldenEye, el ID de la instalación contenía la información necesaria para recuperar las claves.
ExPetr (también conocido como NotPetya) no tiene ese ID de la instalación, lo que significa que el autor de las amenazas no podría extraer la información necesaria para el descifrado. En pocas palabras, las víctimas nunca podrían recuperar sus datos.
No pagues el rescate. No servirá.