¿Qué es Petya o NoPetya?
Ayer hubo un nuevo ataque de ransomware como el del famoso Wanna Cry de semanas atrás. En este caso el ransomware ha sido llamado NoPetya y guarda muchos parecidos con Wanna Cry aunque en actúa de forma distinta.
Se trata de una modificación de PETYA, que infecta datos del equipo y solicita un rescate de 300€ en bitcoins.
Este ransomware hace uso del mismo exploit que Wanna Cry, llamado EternalBlue además de usar EternalRomance que hace uso del puerto TCP 445 o de herramientas como psexec.
Todas estas vulnerabilidades (EternalBlue y EternalRomance) fueron robadas a la NSA.
Como comentamos en el post de Wanna Cry, estas vulnerabilidades fueron corregidas por Microsoft con el parche MS17-010 . Así pues, el primer consejo es tener siempre el equipo actualizado
¿Cómo funciona NoPetya?
Aunque también pide un rescate de 300$ como Wanna Cry, NoPetya tiene un funcionamiento algo distinto. Este ransomware se centra en ficheros de lenguaje de programación como Python y Visual Basic, según comentan en The Register
El esquema de funcionamiento del ataque de NoPetya:
- Infección: Spam masivo a direcciones de correo electrónico. Parece ser que envía un email para una oferta de laboral, con un enlace a dropbox para descargar un cv.
- Al descargar el fichero (dropper) se infecta el equipo con NoPetya.
- Propagación: Desde el ordenador infectado se rastrea la red LAN en busca de equipos con la vulnerabilidad MS17-10 para propagar la infección.
¿Cómo podemos evitar una infección por NoPetya?
- Siempre que sea posible, tener instaladas las ultimas actualizaciones del sistema. En este caso sería suficiente con el paquete acumulativo de Marzo.
- Activar el Firewall.
- Activar la opción para ver las extensiones de todos los ficheros. De esta forma podremos detectar ficheros ejecutables camuflados en documentos de uso habitual (doc, xls,pdf…)
- Desactivar macros de Excel o softwares similares.
- Si accedes remotamente a los datos de la empresa, usa siempre protocolos seguros.
- Navegar de forma segura usando ultimas versiones de los navegadores web así como de sus extensiones o plugins.
¿Cómo parar NoPetya?
Consejos para evitar sustos
Como siempre comentamos, es de vital importancia tener copias de seguridad actuales. No menos importante, realizar procesos de restauración de forma periódica para verificar que las copias son correctas. Este punto, aunque puede parecer una tontería, suele ser de vital importancia. No es la primera vez que al intentar restaurar un backup este está corrupto.
También importante mover los datos más críticos y sensibles a algún sistema cloud (dropbox, google drive, etc…) o a alguna unidad externa.
En la medida de lo posible, hay que tener siempre el sistema operativo con las ultimas actualizaciones instaladas. Así evitaremos estos ‘sustos’.
Si ha sido de interés este artículo por favor compártelo o si tienes alguna duda, coméntanos. También te pueden interesar los anteriores posts sobre Wanna Cry o Adylkuzz.
#WeAreXpertiX