Petya virus ransomware, nuevo ciberataque mundial, que es, como funciona y como evitarlo
Tabla de contenido:
- ¿Cómo se propaga el ransomware Petya?
- ¿Qué sucede después de que se infecta una PC?
- ¿Cómo mantenerse a salvo?
Un nuevo ataque de ransomware que utiliza una versión modificada de la vulnerabilidad EternalBlue explotada en los ataques WannaCry surgió el martes y ya ha afectado a más de 2000 PC en todo el mundo en España, Francia, Ucrania, Rusia y otros países.
El ataque se ha dirigido principalmente a empresas en estos países, mientras que un hospital en Pittsburg, EE. UU., También ha sido afectado. Las víctimas del ataque incluyen el Banco Central, Ferrocarriles, Ukrtelecom (Ucrania), Rosnett (Rusia), WPP (Reino Unido) y DLA Piper (Estados Unidos), entre otros.
Si bien la mayor cantidad de infecciones se han encontrado en Ucrania, la segunda más alta en Rusia, seguida de Polonia, Italia y Alemania. La cuenta de bitcoin que aceptaba pagos había completado más de 24 transacciones antes de que se cerrara.
Aunque el ataque no está dirigido a empresas en la India, sí apuntó al gigante naviero AP Moller-Maersk y el puerto Jawaharlal Nehru está bajo amenaza ya que la compañía opera las terminales de pasarela en el puerto.
¿Cómo se propaga el ransomware Petya?
El ransomware utiliza un exploit similar utilizado en los ataques de ransomware WannaCry a gran escala a principios de este mes que se dirigieron a máquinas que se ejecutan en versiones obsoletas de Windows, con una pequeña modificación.
La vulnerabilidad se puede explotar a través de una ejecución remota de código en PC con sistemas Windows XP a Windows 2008.
El ransomware infecta la PC y la reinicia usando las herramientas del sistema. Al reiniciar, cifra la tabla MFT en particiones NTFS y sobrescribe el MBR con un cargador personalizado que muestra la nota de rescate.
Según Kaspersky Labs, “para capturar credenciales para propagarse, el ransomware utiliza herramientas personalizadas, a la Mimikatz. Estas extraen credenciales del proceso lsass.exe. Después de la extracción, las credenciales se pasan a las herramientas PsExec o WMIC para su distribución dentro de una red ".
¿Qué sucede después de que se infecta una PC?
Después de que Petya infecta una PC, el usuario pierde el acceso a la máquina que muestra una pantalla negra con texto rojo que dice lo siguiente:
“Si ve este texto, entonces sus archivos ya no serán accesibles porque han sido encriptados. Quizás esté ocupado buscando una forma de recuperar sus archivos, pero no pierda nuestro tiempo. Nadie puede recuperar sus archivos sin nuestro servicio de descifrado ".
Y hay instrucciones sobre el pago de $ 300 en Bitcoins y una forma de ingresar la clave de descifrado y recuperar los archivos.
¿Cómo mantenerse a salvo?
Actualmente, no existe una forma concreta de descifrar los archivos que el ransomware Petya mantiene como rehenes, ya que utiliza una clave de cifrado sólida.
Pero el sitio web de seguridad Bleeping Computer cree que crear un archivo de solo lectura llamado 'perfc' y colocarlo en la carpeta de Windows en la unidad C puede ayudar a detener el ataque.
También es importante que las personas que aún no lo hayan hecho descarguen e instalen inmediatamente el parche de Microsoft para sistemas operativos Windows más antiguos que elimine la vulnerabilidad explotada por EternalBlue. Esto ayudará a protegerlos contra un ataque de una cepa de malware similar, como Petya.
Si la máquina se reinicia y ve este mensaje, ¡apáguelo de inmediato! Este es el proceso de encriptación. Si no enciende, los archivos están bien. pic.twitter.com/IqwzWdlrX6
- Hacker Fantastic (@hackerfantastic) 27 de junio de 2017
Si bien la cantidad y la magnitud de los ataques de ransomware aumentan cada día que pasa, se sugiere que el riesgo de nuevas infecciones disminuya considerablemente después de las primeras horas del ataque.
Lea también: Ataques de ransomware en aumento: a continuación, se explica cómo mantenerse a salvo.Y en el caso de Petya, los analistas predicen que el código muestra que no se extenderá más allá de la red. Nadie ha podido distinguir quién es responsable de este ataque todavía.
Los investigadores de seguridad aún no han encontrado una manera de descifrar los sistemas infectados por el ransomware Petya y dado que ni siquiera los hackers pueden ser contactados ahora, todos los afectados seguirán siéndolo por el momento.
Proveedor de seguridad hurga quién es un humano y quién es un bot
Compañía de seguridad Pramana ha ideado tecnología que dice puede bloquear programas automáticos responsables para perpetuar molestias como el spam.
El último ataque de día cero de Java está vinculado al ataque de hacker de Bit9
Los ataques descubiertos la semana pasada que explotaron una vulnerabilidad de Java previamente desconocida Probablemente lanzado por los mismos atacantes que anteriormente apuntaban a la firma de seguridad Bit9 y sus clientes, según los investigadores del proveedor de antivirus Symantec. Los ataques descubiertos la semana pasada que explotaron una vulnerabilidad Java previamente desconocida probablemente fueron lanzados por los mismos atacantes que anteriormente apuntaban a la seguridad la firm
Petya ransomware: un ataque financiado por el estado o no
Los expertos en seguridad opinan que el ataque del ransomware Petya que infectó a varios miles de sistemas podría ser un ataque de estado-nación, no un ransomware.