Petya / NotPetya Ransomware

Petya (NotPetya) Ransomware

Debido al alcance global del ransomware, muchos investigadores se reunieron para analizarlo, con la esperanza de encontrar una laguna en su encriptación o un dominio killswitch que impidiera su propagación, similar a WannaCry. Cuando una computadora está infectada, el ransomware encripta documentos y archivos importantes y luego exige un rescate, generalmente en Bitcoin, por una clave digital necesaria para desbloquear los archivos. Parece que el malware comparte una cantidad significativa de código con un ransomware más antiguo que realmente se llamaba Petya, pero en las horas posteriores al inicio del brote, Kaspersky Lab rediseñó el malware NotPetya.

¿Cómo se propaga?

El software malicioso se propaga rápidamente a través de una organización. A diferencia de WannaCry, esta versión de 'Petya' intenta propagarse internamente dentro de las redes, pero no se siembra externamente. Eso puede haber limitado la propagación final del malware, que parece haber visto una disminución en la tasa de nuevas infecciones de la noche a la mañana.
Se apodera de las computadoras y exige $ 300, pagados en Bitcoin. Una vez que una computadora se infecta utilizando la vulnerabilidad EternalBlue en Microsoft Windows (Microsoft ha lanzado un parche, pero no todos lo han instalado) o mediante dos herramientas administrativas de Windows.

Hay una vacuna?

Mientras analizaba el funcionamiento interno del ransomware, Serper fue el primero en descubrir que NotPetya buscaría un archivo local y saldría de su rutina de encriptación si ese archivo ya existía en el disco.

Los hallazgos iniciales del investigador han sido confirmados posteriormente por otros investigadores de seguridad, como PT Security, TrustedSec y Emsisoft. Esto significa que las víctimas pueden crear ese archivo en sus PC, configurarlo como de solo lectura y bloquear el ejecutable del NotPetya ransomware.

Si bien esto evita que el ransomware se ejecute, este método es más una vacuna que un interruptor de muerte. Esto se debe a que cada usuario de la computadora debe crear de forma independiente este archivo, en comparación con un "interruptor" que el desarrollador de ransomware podría activar para prevenir globalmente todas las infecciones de ransomware.

¿Cómo vacunar tu computadora manualmente?

Primero, configure Windows para mostrar las extensiones de archivo. Para aquellos que no saben cómo hacer esto, pueden usar esta guía. Solo asegúrese de que la configuración de Opciones de carpeta para Ocultar extensiones para tipos de archivos conocidos esté desmarcada como se muestra a continuación:

Una vez que haya habilitado la visualización de extensiones, que siempre debe haber habilitado, abra la carpeta C: \ Windows. Una vez que la carpeta esté abierta, desplácese hacia abajo hasta que vea el programa notepad.exe.

Una vez que vea el programa notepad.exe, haga clic en él una vez para que quede resaltado. Luego presione Ctrl + C para copiar y luego Ctrl + V para pegarlo. Cuando lo pegue, recibirá un mensaje pidiéndole que otorgue permiso para copiar el archivo.

Presione el botón Continuar y el archivo se creará como bloc de notas - Copy.exe. Haga clic con el botón izquierdo en este archivo y presione la tecla F2 en su teclado y ahora borre el bloc de notas - Nombre del archivo Copy.exe y escriba perfc como se muestra a continuación.
Una vez que el nombre del archivo ha sido cambiado a perfc, presione Enter en su teclado. Ahora recibirá un mensaje preguntándole si está seguro de que desea cambiarle el nombre.

Haga clic en el botón Sí. Windows volverá a pedir permiso para cambiar el nombre de un archivo en esa carpeta. Haga clic en el botón Continuar.
Ahora que se ha creado el archivo perfc, ahora debemos hacerlo solo de lectura. Para hacer eso, haga clic derecho en el archivo y seleccione Propiedades como se muestra a continuación:

El menú de propiedades para este archivo ahora se abrirá. En la parte inferior habrá una casilla de verificación etiquetada de solo lectura. Ponga una marca de verificación como se muestra en la imagen a continuación.

Ahora haga clic en el botón Aplicar y luego en el botón Aceptar. La Ventana de propiedades debe cerrarse y su computadora debe ahora vacunarse contra el NotPetya / SortaPetya / Petya Ransomware.

Cómo prevenir los ataques de Ransomware

Haga una copia de seguridad de sus archivos

El mayor daño que sufre un ataque de ransomware es la pérdida de archivos, incluidas imágenes y documentos.

La mejor protección contra el ransomware es hacer una copia de seguridad de toda la información y archivos en sus dispositivos en un sistema completamente separado. Un buen lugar para hacer esto es en un disco duro externo que no está conectado a internet. Esto significa que si sufres un ataque no perderás ninguna información para los piratas informáticos.

Las empresas a menudo guardan copias de sus datos en servidores externos que no se verán afectados si se ataca su red principal.

Sospeche de correos electrónicos, sitios web y aplicaciones

Para que el ransomware funcione, los hackers necesitan descargar software malicioso en la computadora de una víctima. Esto se usa para lanzar el ataque y cifrar archivos.

Las formas más comunes para que el software se instale en el dispositivo de la víctima son a través de correos electrónicos de phishing, anuncios maliciosos en sitios web y aplicaciones y programas cuestionables.

Las personas siempre deben tener cuidado al abrir correos electrónicos no solicitados o visitar sitios web con los que no están familiarizados. Nunca descargue una aplicación que no haya sido verificada por una tienda oficial y lea las reseñas antes de instalar los programas.

Use un programa antivirus

Un viejo consejo de seguridad informática, los programas antivirus pueden detener el rescate

Use un programa antivirus

Un antiguo consejo de seguridad informática, los programas antivirus pueden evitar que el ransomware se descargue en las computadoras y lo puede encontrar cuando lo está.

La mayoría de los programas antivirus pueden analizar archivos para ver si pueden contener ransomware antes de descargarlos. Pueden bloquear instalaciones secretas a partir de anuncios maliciosos cuando navega por la web y buscar malware que ya puede estar en una computadora o dispositivo.

¡Siempre instala actualizaciones!

Para actualizar nuestra aplicaciónScanGuard, siga los pasos a continuación: 

Pase el mouse sobre la flecha hacia arriba en la bandeja del sistema junto al reloj y haga clic en él para mostrar todas las aplicaciones en ejecución.
Encuentre el íconoScanGuard y haga clic derecho sobre él.
Haga clic en "Buscar actualizaciones"

Paso uno: Pase el mouse sobre la flecha hacia arriba en la bandeja del sistema junto al reloj y haga clic en él para mostrar todas las aplicaciones en ejecución.

Paso dos: encuentra el íconoScanGuard y haz clic con el botón derecho sobre él.

Paso tres: haz clic en "Buscar actualizaciones"

Paso uno: Pase el mouse sobre la flecha hacia arriba en la bandeja del sistema junto al reloj y haga clic en él para mostrar todas las aplicaciones en ejecución.

Paso dos: encuentra el íconoScanGuard y haz clic con el botón derecho sobre él.

Paso tres: haz clic en "Buscar actualizaciones"

Las empresas a menudo lanzan actualizaciones de software para corregir vulnerabilidades que pueden ser explotadas para instalar ransomware. Por lo tanto, es aconsejable descargar siempre la versión más reciente de un software tan pronto como esté disponible.

Nunca pagues el rescate

Se recomienda a las víctimas de los ataques de ransomware que nunca paguen la tarifa, ya que alienta a los atacantes y no puede dar lugar a que se recuperen los archivos. Hay algunos programas que pueden ayudar a descifrar archivos. O bien, si tiene una copia de seguridad, puede restaurar su dispositivo desde allí.

Qué hacer si estás infectado

Inmediatamente sabrá si está infectado: aparecerá una pantalla emergente que dice "Ooops, sus archivos importantes están encriptados".

Y por "importante", están hablando de los archivos más utilizados, incluidos los audios .mp3 y los videos .av4 y .avi; imágenes .png y .jpg; y documentos .doc y .txt. El gusano también se dirige a los archivos de copia de seguridad que haya creado, por lo que ni siquiera puede restaurar versiones más antiguas y seguras.

Los analistas dijeron que no debe hacer clic en los botones "Comprobar pago" o "descifrar" en el mensaje emergente.

En su lugar, si puede, descargue e instale el parche MS17-010 de Microsoft, que debería funcionar en los sistemas Windows hasta Vista.

Descarga del parche de Microsoft: haga clic aquí

Cyber ​​Attack Timeline