El nuevo ransomware Petya ataca

Hace algo menos de dos meses un ataque con un malware informático del tipo ransomware denominado WannaCryWannaCry infecto miles de ordenadores de medio mundo. Sin embargo y pese a ocasionar pérdidas por valor de varios millones de Euros, no se ha parcheado debidamente el agujero que permitía la ejecución de esa vulnerabilidad.

El ransomware consiste en encriptar los datos del disco duro y solicitar el pago de una cantidad de dinero para desencriptarlos. Aunque pocas empresas admiten haber realizado el pago, la perdida definitiva de los datos de clientes, proveedores y datos de las mismas es tal que casi todas las empresas infectadas pasan por caja y pagan.

El pago se realiza en una moneda de imposible seguimiento ya que se realiza en bitcoin, la moneda de internet.

 

Aprovechando la misma otro nuevo ransomware ha aparecido ocasionando daños en otra buena cantidad de ordenadores. Esta vez el virus se llama Petya, Pedro en ruso y el origen de los primeros infectados ha sido en Ucrania, exendiendose después por toda Europa.En el siguiente video veréis lo que aparece en pantalla cuando sois infectados con este nuevo malware llamado “Petya”.

 

Se da el caso, según nos informa Geek’s Room que lamentablemente para los que han caído víctimas del ataque de ransomware que comenzó ayer en Europa y se ha propagado alrededor del mundo, las nuevas noticias acerca del mismo no son muy buenas que digamos ya que los que han pagado el rescate hasta el momento no han podido obtener la llave para descifrar los ficheros cifrados por el ransomware Petya.

Hasta el momento de publicar este artículo, solo 45 han pagado el rescate del ransomware Petya, pero no han tenido la suerte que esperaban luego de pagar los 300 dólares en bitcoin que los ciberdelincuentes requerían y sus ficheros siguen bloqueados.

Esta versión de ransomware, en principio, es incapaz de entrar en aquellos ordenadores que ya habían instalado el parche que explicamos en este mismo blog.

Sin embargo, y he aquí la novedad una vez infectado en uno de los ordenadores de una red, si es capaz de trasmitirse a aquellos que si tenían instalado dicho parche.

En España, uno de los países donde la cultura de “en internet todo es gratis” persiste de manera alarmante, donde los programas en PYME,s  es casi todo pirata, y la actualización de los sistemas es mínima, el riesgo es enorme, las perdidas  pueden llegar a ser inmensas.

Este tipo de malware es un auténtico negocio, precisamente debido a que las empresas no quieren comunicar a sus clientes que sus datos han sido comprometidos y pagan casi sin chistar, los delincuentes han descubierto un autentico filón.

Los ordenadores afectados son aquellos con sistema operativo Windows. El Instituto Nacional de Ciberseguridad de España realiza las siguientes recomendaciones:

  1. Realiza copias de seguridad periódicamente en dispositivos o medios que estén desconectados de manera habitual del sistema, solo deben estar conectados mientras se realiza la copia.
  2. Ten precaución al seguir enlaces en correos, mensajería instantánea y redes sociales, aunque sean de contactos conocidos. También al descargar ficheros adjuntos aunque sean de contactos conocidos.
  3. Permanece atento a las actualizaciones de seguridad. Si no mantienes tus equipos actualizados te expondrás a todo tipo de riesgos: robo de información, pérdida de privacidad, perjuicio económico, suplantación de identidad, etc.
  4. Usa cuentas de usuario sin permisos de administrador. El uso de la cuenta de administrador debe limitarse a aquellas situaciones en las que necesitamos disponer de privilegios: realizar cambios en la configuración, instalar una nueva aplicación, dar de alta un nuevo usuario, etc. Al finalizar estas tareas, debemos seguir trabajando con una cuenta estándar.
  5. Instalar software específico anti-ransomware. Está apareciendo software de este tipo para proteger a los sistemas. Varias empresas tienen productos en esta línea como Antiransom (Security ByDefault),  CryptoPreventMalwareBytes (beta), Bitdefender (BDAntiransomware).

Ransomware #WannaCry que es y como evitarlo

El pasado mes de marzo, [w: Wikileaks] publicó una serie de vulnerabilidades del sistema operativo Windows que utilizaba la Agencia Central de Inteligencia de los Estados Unidos, la conocida CIA, para espiar a usuarios.

Estas vulnerabilidades en muchos casos dan acceso al sistema de forma remota, y han servido a hackers chinos para desarrollar un virus que se ha llamado “WannaCrypt” que secuestra la información de los ordenadores infectados, pidiendo un rescate.

Dicho virus llega en forma de mensaje con un enlace o fichero adjunto, utilizando lo que se denomina “ingeniería social” con una noticia atractiva o que anime al receptor del mensaje a abrir el documento anexo o a abrir el enlace, al hacer esto, queda el ordenador infectado, a la vez, el virus busca nuevos ordenadores en la red para infectarlos de la misma forma. Una vez hecho esto aparece una pantalla como la que hay a continuación.

WannaCrypt
Pantalla WannaCrypt

La infección se produce encriptando la información, y pidiendo un rescate de entre 100 y 300$ en bitcoin que es una moneda virtual de internet de muy difícil seguimiento a través de la red.

La propia pantalla pone las instrucciones para efectuar el pago de la cantidad solicitada.

El virus apareció el pasado 12 de mayo sobre las 12,00 horas en España y a día de hoy, 15 de mayo, ha infectado a más de doscientos mil ordenadores en todo el mundo causando solo en perdida de horas de trabajo cantidades multimillonarias.

Lo primero que hay que decir a todo lo expuesto es que el parche de Microsoft que repara esta vulnerabilidad esta publicado desde el 14 de marzo de 2017 en el boletín de seguridad MS-17-010 y, que el virus no se habría propagado de la forma que lo ha hecho si los ordenadores, sobre todo los de las grandes empresas y Organismos Oficiales, se hubiesen actualizado como recomiendan todos los expertos.

A día de hoy, y tras un fin de semana frenético, el Centro Criptográfico Nacional, dependiente del CNI ha realizado un completo informe, al mismo tiempo, ha publicado varios parches para el citado virus.

Por un lado, ha creado un fichero de lotes, un fichero con extensión *.bat, que tiene como misión evitar la ejecución del virus, tanto en ordenadores en inglés como ordenadores en castellano.

En segundo lugar, ha creado varios ficheros ejecutables que previenen la infección, porque afecta a versiones antiguas de Windows que ya no tenían soporte como son Windows 2000 y Windows XP. Por lo tanto deberemos de utilizar aquella versión que concuerde con nuestra versión de Windows.

A día de hoy se han detectado tres versiones del propio virus, que se han llamado WannaCry-A, WannaCry-B y WannaCry-C incluso ya hay noticias de una versión 2.0 con lo que se espera nuevas infecciones durante los próximos días.

Se recomienda actualizar el sistema operativo Windows utilizando el sistema propio de Microsoft “Windows update” o descargar la versión adecuada desde el enlace del el boletín de seguridad MS-17-010.

A continuación pongo los enlaces originales al informe del ransomware realizado por el Centro Criptologico Nacional: https://www.ccn-cert.cni.es/seguridad-al-dia/comunicados-ccn-cert/4488-informe-del-ransomware-de-la-familia-wannacry-que-incluye-medidas-para-su-deteccion-y-desinfeccion.html

Y a la web desde donde se pueden descargar las herramientas citadas en este post, recomiendo ENCARECIDAMENTE, que quienes vayan a utilizar los parches lean los archivos readme.txt del propio servidor que explican par que sirve cada parche. https://loreto.ccn-cert.cni.es/index.php/s/tYxMah1T7x7FhND?path=%2F