viernes, 4 de agosto de 2017

Nuevo brote de ransomware Petya / NotPetya / Expetr

Ayer, surgió un nuevo brote de ransomware y, al parecer, tiene la misma magnitud que el reciente WannaCry.

Una gran cantidad de grandes empresas de diferentes países ha informado de que dicha epidemia les ha afectado y es probable que su magnitud no deje de aumentar.
Algunos investigadores han sugerido que el nuevo ransomware puede ser o WannaCry (que no lo es) o una variación de Petya (sea Petya.Am Petya.D o PetrWrap). Los expertos de Kaspersky Lab han llegado a la conclusión de que el nuevo malware es bastante diferente de las anteriores versiones que se conocen de Petya y, por ello, lo estamos tratando como una familia de malware diferente. La hemos llamado ExPetr (o NotPetya, de forma no oficial).
Parece ser que el ataque es complejo y se da mediante diferentes vectores de ataque. Podemos confirmar que se está utilizando un exploit modificado de EternalBlue para propagarlo, al menos en redes corporativas. Haz click para obtener más información técnica sobre el ataque.
Por ahora, los productos de Kaspersky Lab detectan el nuevo ransomware con los siguientes nombres:
  • Trojan-Ransom.Win32.ExPetr.a
  • HEUR:Trojan-Ransom.Win32.ExPetr.gen
  • UDS:DangerousObject.Multi.Generic (detectado por Kaspersky Security Network)
  • PDM:Trojan.Win32.Generic (detectado por the System Watcher feature)
  • PDM:Exploit.Win32.Generic (detectado por the System Watcher feature)

Recomendaciones para nuestros clientes corporativos

  1. Asegúrate de que Kaspersky Security Network y los componentes de System Watcher se encuentran activados.
  2. Actualiza inmediatamente de forma manual las bases de datos de antivirus.
  3. Instala todas las actualizaciones de seguridad para Windows. La que soluciona bugs explotados por EternalBlue es especialmente importante. Aquí te explicamos cómo hacerlo.
  4. Como medio de protección adicional, puedes usar el Control de actividad de aplicaciones, un componente de Kaspersky Endpoint Security, para denegar cualquier acceso.
  5. De manera alternativa, utiliza el Control de inicio de aplicaciones incluido en Kaspersky Endpoint Security para bloquear la ejecución de la utilidad PSEec, pero utiliza el Control de actividad de aplicaciones para bloquear perfc.dat.
  6. Configura y activa el modo de denegación por defecto en el Control de inicio de aplicaciones de KasperskyEndpoint Security para asegurarte y reforzar la defensa proactiva contra este y otros ataques.
  7. También puedes usar la característica AppLocker para desactivar la ejecución del archivo perfc.dat y de la utilidad PSExec.

Consejos para nuestros clientes individuales

Al parecer, esta amenaza ha afectado menos a los usuarios domésticos; los ciberdelincuentes responsables van a por grandes empresas. Sin embargo, una protección efectiva nunca viene mal. Esto es lo que puedes hacer:
  1. Crea una copia de seguridad de tus datos. Esa es siempre una buena idea durante estos tiempos turbulentos.
  2. Si utilizas una de nuestras soluciones de seguridad, asegúrate de tener activados los componentes Kaspersky Security Network y System Watcher.
  3. Actualiza de forma manual las bases de datos de tu antivirus. En serio, hazlo en este momento; no te llevará mucho tiempo.
  4. Instala todas las actualizaciones de seguridad de Windows. La que soluciona bugs explotados por EternalBlue es especialmente importante. Aquí te explicamos cómo hacerlo.
De acuerdo con la actualización de Motherboard, el proveedor alemán de correo electrónico, Posteo, cerró la dirección de correo electrónico que se suponía que iba a ser utilizada por las víctimas para contactar a los extorsionadores, confirmar las transacciones de bitcoins y recibir las claves de descifrado. Lo que esto significa es que las víctimas que pretendían pagar a los criminales ya no podrán recuperar sus archivos. En Kaspersky Lab, no abogamos por pagar el rescate, y en este caso parece ser inútil de todos modos.
Actualización: Más que eso, nuestros analistas expertos nos indican que nunca hubo esperanza para la recuperación de datos de las víctimas.
Los investigadores de Kaspersky Lab analizaron el código de cifrado de rutina y determinaron que después del cifrado del disco, el actor de la amenaza no pudo descifrar los discos de las víctimas. Para descifrarlos, los actores necesitan la instalación ID. En versiones previas de ransomware similares a Petya/Moscha/GoldenEye, la instalación ID contenía la información necesaria para la recuperación.
ExPetr (también conocido como NotPetya), no tiene esa instalación ID, lo que significa que el actor de la amenaza no pudo extraer la información necesaria para descifrar. Resumiendo, las víctimas no pudieron recuperar sus datos.
No paguen el rescate. No sirve de nada.