Nuevo ataque de Ransomware

Martes, 4 Julio, 2017
El pasado 27 de junio, se descubrió un nuevo ataque de ransomware a nivel mundial, este ataque ha sido referido por distintas compañías de seguridad
Nuevo ataque de Ransomware

Escrito por Fernando Arnada, CUDI

 

Nuevo ataque de ransomware a nivel mundial, ha sido referido por distintas compañías de seguridad como NotPetya, Petya, Nyetya, Petrwrap y exPetr.

 

Este malware ha afectado compañías de diversos sectores de la industria en varias partes del mundo, según información de diferentes compañías de seguridad, la mayor afectación se ha localizado en Ucrania, Rusia, Dinamarca, España, India, Alemania, Reino Unido, Estados Unidos, Francia y algunos otros países.

 

Referencia:

https://technet.microsoft.com/library/security/MS17-010

 

Propagación

Una vez que un equipo está infectado, el malware analiza los equipos vulnerables que se encuentran conectados en la misma red, en caso de encontrar alguno, recolecta las credenciales, las transmite e intenta infectar otras máquinas de la red. De acuerdo con información de Kaspersky Labs, este malware no parece tener un elemento escaneador externo.

 

El malware aprovecha una vulnerabilidad en los sistemas basados en Windows para la que Microsoft lanzó un parche en marzo pasado, la información se encuentra en el boletín MS17-010.

 

Operación

Este malware no ataca directamente a los archivos de los equipos, sino que afecta a la Tabla de Archivos Maestra (MFT) y al Registro de Arranque Maestro (MBR).

 

Según los investigadores de Kaspersky Lab, el malware espera de 10 a 60 minutos después de la infección para reiniciar el sistema, y una vez reiniciado, comienza a encriptar la Tabla de Archivos Maestra (MFT) en particiones NTFS, sobrescribiendo el Registro de Arranque Maestro (MBR) con un cargador personalizado que muestra la nota de rescate, exigiendo un pago.

 

Impresión de pantalla de un equipo comprometido con Nyetya

 

Recomendaciones:

-       A los administradores:

o   Mantener actualizados los sistemas operativos

o   Actualizar los sistemas de seguridad perimetral

o   Actualizar los sistemas antivirus

o   Mantener esquemas de respaldo y recuperación

o   Continuar con la inducción hacia los usuarios sobre las medidas de prevención.

 

-       A los usuarios:

o   Evitar abrir correos electrónicos de remitentes desconocidos

o   Evitar navegar por páginas no seguras o con contenido no verificado

o   No descargar programas de sitios web no confiables

Analizar con el antivirus cualquier dispositivo externo antes de conectarlo al equipo.