Petya y sus variantes, todo lo que se sabe del nuevo ransomware similar a Wannacry


NotPetya
Ayer a primera hora de la tarde se volvía a vivir una situación similar a la que se vivió hace aproximadamente un mes y medio cuando el ya popular WannaCry infectaba un buen número de equipos de importantes compañías en España y Europa.
Telefónica era una de las primeras en avisar de la situación, ya que fue una de las afectadas, pero no tardaron en conocerse otras compañías afectadas como el propio sistema sanitario de Reino Unido. Pues bien, ayer mismo veíamos como  otra amenaza en forma de ransomware volvía al ataque y ponía en alerta a medio mundo, NotPetya.

 
En este caso WannaCry daba paso a una nueva versión del famoso ransomware Petya, ya que se basa en gran parte del código de Petya, y a él ya muchos expertos en seguridad lo han bautizado con el nombre de NotPetya o GoldenEye.
 
Este nuevo ataque de ransomware ha conseguido infectar a un buen número de empresas y organismos oficiales de distintas ciudades europeas, se dice que podría haber superado los 2.000 objetivos, y donde compañías de gran envergadura como la gigante naviera Maersk, la farmaceútica Merck y múltiples instituciones y entidades bancarias de Ucrania como la oficina de correos son algunas de las más afectadas.
Petya o NotPetya ransomware

Petya aprovecha la misma vulnerabilidad que WannaCry

Su rápida propagación ha sido gracias a la misma vulnerabilidad que aprovechó WannaCry el pasado mes de mayo y que se conoce con el nombre de EternalBlue, un exploit desarrollado supuestamente por la NSA y que fue filtrado en el mes de abril por el grupo de hackers Shadow Brokers.
 
EternalBlue aprovecha una vulnerabilidad en la implementación del protocolo Server Message Block (SMB) de Microsoft, ya que la versión 1 del servidor SMB (SMBv1) acepta en varias versiones de Windows, paquetes específicos de atacantes a los que les permite ejecutar código de forma remota.
 
Un problema que Microsoft solucionaba con el parche de seguridad MS17-010 que liberaba el pasado mes de marzo para todas las versiones de Windows que todavía cuentan con soporte por parte de la compañía.
 
Por lo tanto, todos aquellos equipos con sistema operativo Windows que no estén actualizados y no cuenten con este parche instalado están en el punto de mira de NotPetya o GoldenEye.

Petya o esta nueva versión de Petya es más potente que WannaCry

Desde ayer mismo son muchos los expertos en seguridad que están analizando el código del responsable de este nuevo ataque de ransomware que es capaz de propagarse como un gusano por Internet y llegar a infectar equipos vulnerables que no estén parcheados con la citada actualización.
 
No obstante, esta nueva variante de Petya ha sido creada a conciencia para no caer en los mismos errores de WannaCry y es capaz de llegar incluso a ordenadores parcheados a través de documentos de Office, Excel y Word, que ejecutan macros con código malicioso.
 
El hecho de que los creadores de NotPetya o GoldenEye hayan aprendido de los errores de WannaCry, hace pensar a los expertos de seguridad que este nuevo ataque de ransomware puede ser más potente que el del pasado mes de mayo, ya que añade un cifrado mucho más fuerte, puede llegar a infectar a más ordenadores y tiene la capacidad de usar otra vulnerabilidad de la NSA conocida como EternalRomance, que también fue parcheada por Microsoft en el mes de marzo, así cómo otra que afecta especialmente a Windows Server 2003 y Windows XP que consiguieron solucionar desde Redmond hace tan solo un par de semanas y es conocida bajo el nombre de EsteemAudit.
Petya o NotPetya
Como ya adelantábamos ayer, NotPetya cifra los datos de los ordenadores infectados y muestra una pantalla en la que explica las condiciones para poder recuperar el acceso a la información almacenada en el ordenador.
 
Como buen ransomware, este Petya o NotPetya, solicita el pago de 300 dólares en Bitcoins por el rescate de los datos a sus víctimas, algo que por otra parte, tampoco garantiza que vayamos a poder recuperar los datos aún después de pasar por caja.
 
En este sentido, NotPetya ha aprendido nuevamente de los errores de WannaCry, que como ya sabemos no estableció una dirección única de pago por cada equipo afectado y provocó que no supieran exactamente quien procedía a realizar el pago por el rescate de su equipo y por lo tanto, no pudieran enviarle la clave de descifrado.
 
Esta nueva variante de Petya se basa en la validación de pago manual, es decir, cuando una víctima realice el pago del rescate, deberán enviar un mensaje de correo electrónico con el comprobante de pago para que los responsables detrás de NotPetya le envíen su clave de descifrado.

De momento sin solución fácil para el nuevo ataque de Petya

Hasta el momento, parece que no hay una solución fácil para protegerse de este nuevo ataque de ransomware, salvo contar con nuestro sistema Windows completamente actualizado, aunque tampoco nos garantiza que podamos ser víctima de NotPetya.
 
Como medida de precaución, los investigadores señalan que este ransomware se ejecuta en el arranque del sistema, por lo que si vemos que nos aparece un mensaje de Check Disk al iniciar el equipo, lo mejor será apagarlo de inmediato para intentar evitar que se cifren todos nuestros archivos.
 
Por otra parte, para evitar que el ataque se propague por una red local, los compañeros de RedesZone nos enseñan cómo crear y bloquear un sencillo archivo en nuestro disco duro que, al detectarlo el ransomware, automáticamente sale de la rutina de cifrado, quedando nuestros datos protegidos frente a esta amenaza.

 
 

Comentarios

Publicar un comentario

Entradas populares de este blog

Contactos de Google: cómo añadir, importar, hacer copias de seguridad y restaurar contactos

Imagen
Además de los documentos con información importante, fotos o vídeos, lo que más trastorno nos puede producir cuando cambiamos de dispositivo o tenemos un problema con él, es sin duda perder todos nuestros contactos. Para evitar eso, Google cuenta con su propia herramienta Contactos de Google y que está disponible en el servicio de correo de Gmail  como servicio independiente, así como parte de las aplicaciones web de Google.
Read more »

Firefox Quantum acabará al fin con uno de sus principales problema: el excesivo consumo de RAM

Imagen
Uno de los problemas que afecta a todos los navegadores modernos de hoy en día es el consumo de RAM. Si nuestro ordenador tiene 16 GB o 32 GB de memoria RAM, seguramente esto no nos importe demasiado, sin embargo, cuando nuestro ordenador tiene poca memoria, o solemos trabajar a menudo con muchas pestañas abiertas al mismo tiempo, el excesivo consumo de RAM de Google Chrome o Firefox sí puede ser un problema bastante grave.
Read more »

Así puedes cambiar el fondo de pantalla en Windows 10 sin activar

Imagen
Puede que todavía haya mucha gente que dude si es posible usar Windows 10 sin activar por tiempo ilimitado. Hace años, no activar con una clave de licencia el sistema operativo de Microsoft suponía que no podríamos seguir utilizándolo pasado el tiempo de prueba. Sin embargo, es posible utilizar Windows 10 aunque no esté activado sin límite de tiempo. Eso sí, tendremos otra serie de limitaciones en lo que a personalización del sistema se refiere. Vamos a mostrar cómo cambiar el fondo de pantalla en Windows 10 sin activar.
Read more »

Personaliza tu página de inicio web con estas alternativas a Start.me

Imagen
Cada vez que abrimos el navegador de nuestro ordenador nos aparece la página de inicio que muchos usuarios tienen directamente configurada con Google para que aparezca el famoso buscador. En caso de que quieras dotar de más vida esa página de inicio existen opciones tan populares Start.me que permite configurarla al máximo con todo detalle. Pero si te parece una aplicación compleja hoy te contamos cuáles son las mejores alternativas a Start.me que puedes usar para configurar la página de inicio de tu navegador web.
Read more »