¿Qué es Petya o NoPetya y como evitarlo? Otro ataque de ransomware que esta arrasando.

¿Qué es Petya o NoPetya?

Ayer hubo un nuevo ataque de ransomware como el del famoso Wanna Cry de semanas atrás. En este caso el ransomware ha sido llamado NoPetya y guarda muchos parecidos con Wanna Cry aunque en actúa de forma distinta.

Se trata de una modificación de PETYA, que infecta datos del equipo y solicita un rescate de 300€ en bitcoins.

Este ransomware hace uso del mismo exploit que Wanna Cry, llamado EternalBlue además de usar EternalRomance que hace uso del puerto TCP 445 o de herramientas como psexec.

Todas estas vulnerabilidades (EternalBlue y EternalRomance) fueron robadas a la NSA.

Como comentamos en el post de Wanna Cry, estas vulnerabilidades fueron corregidas por Microsoft con el parche MS17-010 . Así pues, el primer consejo es tener siempre el equipo actualizado

 

Nopetya - Seguridad XpertiX

¿Cómo funciona NoPetya?

Aunque también pide un rescate de 300$ como Wanna Cry, NoPetya tiene un funcionamiento algo distinto. Este ransomware se centra en ficheros de lenguaje de programación como Python y Visual Basic, según comentan en The Register

El esquema de funcionamiento del ataque de NoPetya:

  • Infección: Spam masivo a direcciones de correo electrónico. Parece ser que envía un email para una oferta de laboral, con un enlace a dropbox para descargar un cv.
  • Al descargar el fichero (dropper) se infecta el equipo con NoPetya.
  • Propagación: Desde el ordenador infectado se rastrea la red LAN en busca de equipos con la vulnerabilidad MS17-10  para propagar la infección.

¿Cómo podemos evitar una infección por NoPetya?

  • Siempre que sea posible, tener instaladas las ultimas actualizaciones del sistema. En este caso sería suficiente con el paquete acumulativo de Marzo.
  • Activar el Firewall.
  • Activar la opción para ver las extensiones de todos los ficheros. De esta forma podremos detectar ficheros ejecutables camuflados en documentos de uso habitual (doc, xls,pdf…)
  • Desactivar macros de Excel o softwares similares.
  • Si accedes remotamente a los datos de la empresa, usa siempre protocolos seguros.
  • Navegar de forma segura usando ultimas versiones de los navegadores web así como de sus extensiones o plugins.

¿Cómo parar NoPetya?

Según los estudios, al cabo de entre 15 y 60minutos de infección, el ordenador se reinícia automáticamente.
Al arrancar nuevamente aparece una pantalla como si el sistema estuviese haciendo un checkdisck (chkdsk) pero realmente esta encriptando los datos.
En este momento lo que debemos hacer es apagar el ordenador, si, de golpe. Botonazo.
Esto nos permitirá arrancar con un USB de recuperación o algún Live CD de Linux para recuperar datos y moverlos a una unidad externa.
Por otra parte, el experto de seguridad llamado Amit Serper comenta en su twitter una forma para evitar la infección.
Stop NotPetayet - Amit Serper - NoPetya
El procedimiento es tan sencillo como crear un fichero de solo lectura en la carpeta c:\Windows llamado ‘perfc’ sin extensión. Según parece, el ransomware escanea la unidad y si detecta este fichero no lo infecta.
[ccaa_caja texto=»¿Quieres aumentar tu seguridad informática? ¡Hablemos!»]

Consejos para evitar sustos

Como siempre comentamos, es de vital importancia tener copias de seguridad actuales. No menos importante, realizar procesos de restauración de forma periódica para verificar que las copias son correctas. Este punto, aunque puede parecer una tontería, suele ser de vital importancia. No es la primera vez que al intentar restaurar un backup este está corrupto.

También importante mover los datos más críticos y sensibles a algún sistema cloud (dropbox, google drive, etc…) o a alguna unidad externa.

En la medida de lo posible, hay que tener siempre el sistema operativo con las ultimas actualizaciones instaladas. Así evitaremos estos ‘sustos’.

Si ha sido de interés este artículo por favor compártelo o si tienes alguna duda, coméntanos. También te pueden interesar los anteriores posts sobre Wanna CryAdylkuzz.

#WeAreXpertiX

Artículos relacionados:

SOLICITAR
PRESUPUESTO

Rellena este campo
Por favor, introduce una dirección de correo electrónico válida.
Rellena este campo
Menú