Absolutamente todo lo que necesitas saber sobre NotPetya

[rs_space lg_device=”15″ md_device=”10″ sm_device=”10″ xs_device=””][rs_section_heading small_heading=”NotPetya o GoldenEye, igual que WannaCry, aprovechando la vulnerabilidad en el protocolo SMB de Windows, se cuela en nuestros sistemas,los bloquea y nos extorsiona “ a cambio de su devolución””][rs_space lg_device=”45″ md_device=”40″ sm_device=”30″ xs_device=””]

Índice

[rs_space lg_device=”15″ md_device=”10″ sm_device=”10″ xs_device=””]

Os avisamos ya de que es una entrada muy muy larga. Por eso, y porque hemos querido ser magnánimos, hemos pensado que lo mejor era comenzar con…. ¡un índice!

[rs_space lg_device=”15″ md_device=”10″ sm_device=”10″ xs_device=””]

[su_list icon=”icon: angle-right”]

  • Nuevo virus, descubierto antes de ayer, 27 de junio, ataca masivamente a centenares de sistemas.
  • Afectados principalmente en España, entre otros países
  • Expansión del NotPetya
  • ¿Qué hace el malware NotPetya o GoldenEye?
  • ¿Qué significa esto?

[/su_list]

[su_list icon=”icon: angle-right”]

  • ¿Qué puede pasar?
  • ¿Cómo funciona el virus ransomware NotPetya?
  • Similitudes y diferencias con el ataque virus WannaCry
  • Tabla resumen de diferencias entre NotPetya y WannaCry
  • Tengo parche ¿el virus puede acceder a mi sistema?

[/su_list]

[su_list icon=”icon: angle-right”]

  • ¿Estoy perdido, indefenso?
  • ¿Cómo protegerme?
  • He sido afectado, ¿cómo protejo a mis compañeros?
  • Cuidado con tus programas
  • Inseguridades futuras
  • Conclusión

[/su_list]

[rs_space lg_device=”25″ md_device=”10″ sm_device=”10″ xs_device=””]

Nuevo virus, descubierto antes de ayer, 27 de junio, ataca masivamente a centenares de sistemas

[rs_space lg_device=”15″ md_device=”10″ sm_device=”10″ xs_device=””]

El nuevo randsomware que está amenazando el mundo, y que ha llegado fuerte a nuestro país, se creía que era una nueva cepa del virus Petya o Petwrap, pero finalmente parece ser una modificación, algo nuevo. El nuevo malware, conocido como NotPetya o GoldenEye, funciona de manera similar al temido WannaCry, pero es todavía más fuerte que éste.

Con brote antes de ayer, 27 de junio del 2017, atacó en primer lugar a Ucrania, pero ya en sus primeras horas llegó a Rusia, Holanda, Francia, Reino Unido y España.

[rs_space lg_device=”25″ md_device=”10″ sm_device=”10″ xs_device=””]

España, una de las grandes afectadas 

[rs_space lg_device=”15″ md_device=”10″ sm_device=”10″ xs_device=””]

En lo que respecta a nuestro país, las zonas más afectadas, han sido, a priori Cataluña y Madrid, infectando inclusive a multinacionales como DLA Piper, Maersk, Mondelez, Auchan, WPP o Nivea.

[rs_space lg_device=”25″ md_device=”10″ sm_device=”10″ xs_device=””]
[rs_space lg_device=”15″ md_device=”10″ sm_device=”10″ xs_device=””]

La expansión de NotPetya ha sido exponencial, y en poco tiempo ha creado cientos de miles de infecciones, comparables en tamaño a las primeras horas del virus WannaCry.

[rs_space lg_device=”25″ md_device=”10″ sm_device=”10″ xs_device=””]

Expansión del NotPetya

[rs_space lg_device=”15″ md_device=”10″ sm_device=”10″ xs_device=””]

La expansión de NotPetya ha sido exponencial, y en poco tiempo ha creado cientos de miles de infecciones, comparables en tamaño a las primeras horas del virus WannaCry.

[rs_space lg_device=”25″ md_device=”10″ sm_device=”10″ xs_device=””]

¿Qué hace el malware NotPetya o GoldenEye?

[rs_space lg_device=”15″ md_device=”10″ sm_device=”10″ xs_device=””]

Este nuevo y peligroso ransomware se “cuela” en nuestros sistemas, ocultándose aparentemente a través de archivos muy usuales (Word,Excel,pdf…), normalmente adjuntándose en descargables dentro de los correos electrónicos.

Una vez el virus se encuentra dentro del nuevo ordenador, roba las credenciales de acceso de administrador. De esta forma, es capaz de infectar al resto de la red, además de que obtiene control total sobre el sistema.

[rs_space lg_device=”15″ md_device=”10″ sm_device=”10″ xs_device=””]

A su vez, NotPetya obliga a reiniciar el PC para poder ejecutarse en el proceso de arranque.

En un segundo momento, el virus muestra una pantalla con el error siguiente:

[rs_space lg_device=”15″ md_device=”10″ sm_device=”10″ xs_device=””]

Inglés (original)

[rs_space lg_device=”15″ md_device=”10″ sm_device=”10″ xs_device=””]

Oops, your important files are encrypted.

[rs_space lg_device=”5″ md_device=”10″ sm_device=”10″ xs_device=””]

If you see this text, then yours files are no longer accesible, because they have been encrypted. Perhaps you are busy looking for a way to recover your files, but don’t waste your time. Nobody can recover your files without our descryption service.

[rs_space lg_device=”5″ md_device=”10″ sm_device=”10″ xs_device=””]

We guarantee that you can recover all your files safely and easily. All you need to do is submit the payment and purchase the decryption key.

[rs_space lg_device=”5″ md_device=”10″ sm_device=”10″ xs_device=””]

Please follow the instructions:

  1. Send $300 worth of Bitcoin to following address:

1Mz7153HMuxXTuR2R1t78mGSdzaAtNbBWX

  1. Send your Bitcoin wallet ID and personal installation key to the email wowsmith123456@posteo.net . Your personal installation key:

 – Código único creado para el ordenador infectado –

If you already purchased your key, please enter it below:

Key:…

Castellano

[rs_space lg_device=”15″ md_device=”10″ sm_device=”10″ xs_device=””]

Ups, tus archivos importantes han sido encriptados.

[rs_space lg_device=”5″ md_device=”10″ sm_device=”10″ xs_device=””]

Si estás viendo este texto, entonces es que tus archivos ya no son accesibles porque han sido encriptados. Puede que estés muy ocupado buscando la manera de recuperar tus archivos, pero no malgastes tu tiempo, pues nadie puede recuperarlos sin nuestro servicio de descodificación.

[rs_space lg_device=”5″ md_device=”10″ sm_device=”10″ xs_device=””]

Nosotros te garantizamos que podrás recuperar todos tus archivos rápidamente y de forma sencilla. Todo lo que necesitas hacer es realizar el pago y comprar la clave de descodificación.

[rs_space lg_device=”5″ md_device=”10″ sm_device=”10″ xs_device=””]

Por favor, sigue las instrucciones:

  1. Envía 300$ Bitcoin a la siguiente dirección:

1Mz7153HMuxXTuR2R1t78mGSdzaAtNbBWX

  1. Envía tu identificador de cartera BitCoin y la clave de instalación al email wowsmith123456@posteo.net . Tu clave de instalación:

–  Código único creado para el ordenador infectado –

[rs_space lg_device=”5″ md_device=”10″ sm_device=”10″ xs_device=””]

Si ya has comprado tu clave, por favor, escríbala a continuación:

Clave: …

[rs_space lg_device=”15″ md_device=”10″ sm_device=”10″ xs_device=””]

Por tanto, el malware extorsiona al usuario para hacerle pagar por sus archivos, en dólares bitcoin que no dejan rastro.

[rs_space lg_device=”25″ md_device=”10″ sm_device=”10″ xs_device=””]

¿Qué puede pasar?

[rs_space lg_device=”15″ md_device=”10″ sm_device=”10″ xs_device=””]

Como ya vimos en el punto anterior, el malware Notpetya o GoldenEye es capaz de propagarse por la red con facilidad. Así, cuando nuestro ordenador se infecta con este ransonware, el sistema puede bloquearse por completo y llegar rápidamente al resto de nuestra organización.

Además, los archivos se cifran y el acceso a ellos se convierte en imposible, incluso si hacemos caso al mensaje y realizamos el pago. El desembolso de los 300$ bitcoin no garantiza la recuperación de documentos, todo lo contrario, podríamos llegar a sentirnos timados, ya que la prueba de pago debería aterrizar en un email que ya ha sido eliminado por la entidad gestionadora del correo, Posteo; siendo imposible discernir quién lo ha pagado, y quién no.

[rs_space lg_device=”25″ md_device=”10″ sm_device=”10″ xs_device=””]

¿Cómo funciona el virus ransomware NotPetya?

[rs_space lg_device=”15″ md_device=”10″ sm_device=”10″ xs_device=””]

A grandes rasgos, NotPetya, para acceder a los ordenadores aprovecha la vulnerabilidad de Microsoft y de su sistema SMB, y mediante el uso de EternalBlue, EternalRomance y EsteemAudit; más la herramienta DoublePulsar, se cuela, instala y ejecuta una copia de si mismo en el ordenador usuario.

[rs_space lg_device=”15″ md_device=”10″ sm_device=”10″ xs_device=””]

El NotPetya es considerado un gusano de la red (network worm) porque incluye un mecanismo de transporte que arrastra el virus y se extiende automáticamente en nuevos sistemas.

[rs_space lg_device=”15″ md_device=”10″ sm_device=”10″ xs_device=””]
[rs_space lg_device=”15″ md_device=”10″ sm_device=”10″ xs_device=””]

Me pierdo con tantas siglas ¿qué son estos nombres tan raros? ¿qué significan?

[rs_space lg_device=”15″ md_device=”10″ sm_device=”10″ xs_device=””]

En primer lugar, para entender cómo el virus accede, os diremos que de esta parte se encargan las tres herramientas software EternalBlue, EternalRomance y EsteemAudit. Este tipo de programas “exploit”(punto inseguro) acceden al ordenador aprovechando vulnerabilidades. En esta caso concreto, EternalBlue, EternalRomance y EsteemAudite se aprovechan de la debilidad en el protocolo SMB de Windows (Server Message Block).

[rs_space lg_device=”15″ md_device=”10″ sm_device=”10″ xs_device=””]

Luego, por otra parte, nos encontramos también con la clandestina DoublePulsar, que permite controlar el ordenador atacado, y cargar así el malware en el sistema.

[rs_space lg_device=”15″ md_device=”10″ sm_device=”10″ xs_device=””]

[su_list icon=”icon: angle-right”]

  • DoublePulsar: Es una “backdoor tool”, una especie de software furtivo que permite conectarse de forma remota a cualquier ordenador para recopilar información sobre él. Esta sofisticada herramienta de memoria basada en cargas Kernel, que se conecta a sistemas x86 y 64 bits, permite a un atacante ejecutar cualquier carga de shellcode que desee, y controlar así el sistema atacado, pudiendo hacer con él lo que se le antoje.

[/su_list]

[rs_space lg_device=”15″ md_device=”10″ sm_device=”10″ xs_device=””]

Shellcode: Pequeño código que aprovechando una debilidad software, se inserta en la pila de ejecución para conseguir que se ejecute, en la máquina afectada, la operación programada en él.

[rs_space lg_device=”15″ md_device=”10″ sm_device=”10″ xs_device=””]

Cuando DoublePulsar se encuentra instalado, ya es capaz de cargar malware en el sistema mediante el uso de sus tres comandos (ping,kill y exv).

[rs_space lg_device=”15″ md_device=”10″ sm_device=”10″ xs_device=””]

Parece ser que en GitHub se ha creado un trozo de software capaz de eliminar DoublePulsar de los ordenadores. Esto es importante, pues puede estar oculto en muchos de los PCs sin que el usuario sea conocedor de ello, pudiendo ser utilizado futuramente en su contra.  Accede a la documentación GitHub: https://github.com/countercept/doublepulsar-detection-script

[rs_space lg_device=”25″ md_device=”10″ sm_device=”10″ xs_device=””]

EternalBlue

[rs_space lg_device=”15″ md_device=”10″ sm_device=”10″ xs_device=””]

Esta “tool” es un vector de infección de redes que aprovecha la vulnerabilidad de Microsoft en el protocolo SMB para entrar en el sistema.

EternalBlue fue filtrado por Shadow Brokers, y formaba parte del software perteneciente a la Agencia de Seguridad Nacional de los EE.UU (NSA).

EsteemAudit

[rs_space lg_device=”15″ md_device=”10″ sm_device=”10″ xs_device=””]

Herramienta que apunta al servicio RDP (puerto 3389) en Microsoft Windows Server 2003 y Windows XP. El problema de EsteemAudit es que es capaz de acceder a estas dos versiones, que, puesto que Windows no saca parches debido a su antigüedad, son fácilmente hackeables.

[rs_space lg_device=”15″ md_device=”10″ sm_device=”10″ xs_device=””]

EsteemAudit puede comportarse como WannaCry en cuanto a malware gusano, pues al igual que el caso anterior, se propaga entre las diferentes redes, dejando vulnerables los sistemas a posibles futuros ciberataques.

[rs_space lg_device=”15″ md_device=”10″ sm_device=”10″ xs_device=””]
[rs_space lg_device=”15″ md_device=”10″ sm_device=”10″ xs_device=””]

Para protegerse de EsteemAudit, se podría utilizar tanto un cortafuegos que custodie el puerto RDP, como deshabilitar éste directamente. Por supuesto, el problema también se solucionaría si migrásemos a versiones posteriores del sistema operativo.

[rs_space lg_device=”15″ md_device=”10″ sm_device=”10″ xs_device=””]

EternalRomance

[rs_space lg_device=”15″ md_device=”10″ sm_device=”10″ xs_device=””]

Por último, nos encontramos con este software, parecido a Eternalblue, que utiliza DoublePulsar para generar su shellcode, infectando así al ordenador objetivo.

[rs_space lg_device=”15″ md_device=”10″ sm_device=”10″ xs_device=””]
[rs_space lg_device=”15″ md_device=”10″ sm_device=”10″ xs_device=””]

Si tu PC utiliza Windows XP o Windows 2003, asegúrate de debilitar SMBv1 o usar IDS/IPS para detectar las entradas DoublePulsar.

[rs_space lg_device=”15″ md_device=”10″ sm_device=”10″ xs_device=””]
[rs_space lg_device=”15″ md_device=”10″ sm_device=”10″ xs_device=””][rs_space lg_device=”25″ md_device=”10″ sm_device=”10″ xs_device=””]

Similitudes y diferencias con el ataque virus WannaCry

[rs_space lg_device=”15″ md_device=”10″ sm_device=”10″ xs_device=””]

Aunque es un malware muy nuevo, sus similitudes con WannaCry lo definen bastante bien. A continuación, veremos cuáles son:

[rs_space lg_device=”15″ md_device=”10″ sm_device=”10″ xs_device=””]

[su_list icon=”icon: angle-right”]

  • NotPetya y WannaCry utilizan la misma herramienta, EternalBlue, que accede a través de la vulnerabilidad Windows en su protocolo SMB. Su mayor diferencia en este aspecto, es que no existe el conocido “kill switch”, la debilidad de WannaCry que permitió bloquearlo en tan sólo unos pocos días.

En contraposición a WannaCry, que usaba sólo EternalBlue, este nuevo ransomware utiliza tres herramientas de hackeo: EternalBlue, EternalRomance y EsteemAudit.

[/su_list]

[su_list icon=”icon: angle-right”]

  • Otra de las fortalezas de NotPetya, es su capacidad de infectar los ordenadores ya actualizados con la solución Microsoft a WannaCry. El parche de seguridad, usado sobre el protocolo SMB, protegía las versiones Windows Vista, Windows 7, Windows 8.1 y Windows 10. En una segunda remesa, también cubría Windows XP, Windows 2003 y Windows 8.

[/su_list]

[rs_space lg_device=”35″ md_device=”10″ sm_device=”10″ xs_device=””]

[su_list icon=”icon: angle-right”]

  • En tercer lugar, encontramos que NotPetya promete enviar un justificante de pago unívoco por sistema a un correo electrónico con una contraseña preestablecida para poder recuperar los archivos. Mediante esta estrategia, el randsomware engaña más fácilmente al usuario, pues le hace creer que recuperará sus archivos si cumple con el pago de los 300 dólares bitcoin.

WannaCry, en cambio, no establecía una dirección única por ordenador infectado. En su lugar utilizaron sólo cuatro direcciones, siendo objetivamente imposible identificar quién había realizado el pago y reenviar la clave de descodificación de archivos.
[/su_list]

[su_list icon=”icon: angle-right”]

  • Finalmente, Petya necesita del reinicio del ordenador infectado para poder ejecutarse. WannaCry, en su lugar, cifraba los archivos desde el propio PC.

[/su_list]

[rs_space lg_device=”35″ md_device=”10″ sm_device=”10″ xs_device=””]

Tabla resumen de diferencias entre NotPetya y WannaCry

[rs_space lg_device=”15″ md_device=”10″ sm_device=”10″ xs_device=””]
[rs_image_block align=”center-block” image=”3109″]
[rs_space lg_device=”25″ md_device=”10″ sm_device=”10″ xs_device=””]

Tengo parche ¿el virus puede acceder a mi sistema?

[rs_space lg_device=”15″ md_device=”10″ sm_device=”10″ xs_device=””]

Si tengo el parche de seguridad Windows para el randsomware WannaCry, la respuesta es sí, el virus NotPetya / GoldenEye puede acceder a mi sistema. Como nota, comentaros que la forma más habitual de este malware a la hora de actuar es entrar mediante archivos Word o Excel.

[rs_space lg_device=”25″ md_device=”10″ sm_device=”10″ xs_device=””]

¿Estoy perdido, indefenso ante NotPetya?

[rs_space lg_device=”15″ md_device=”10″ sm_device=”10″ xs_device=””]

No te preocupes, ya se ha encontrado la forma de inmunizar los sistemas para evitar que NotPetya se ejecute.

NotPetya o GoldenEye busca un archivo local dentro del PC, y si este archivo existe, el randsonware detiene su rutina de cifrado.

Al margen de esta solución, ya han empezado a surgir antivirus que te prometen protección contra el NotPetya, como es el caso de Kaspersky.

[rs_space lg_device=”25″ md_device=”10″ sm_device=”10″ xs_device=””]

¿Cómo protegerme?

[rs_space lg_device=”15″ md_device=”10″ sm_device=”10″ xs_device=””]

Aunque, como hemos visto en el punto anterior ya se ha encontrado una vacuna, también deberíamos tener en cuenta los siguientes pasos:

[su_list icon=”icon: angle-right”]

  • No abrir documentos descargados de Internet ni ficheros inesperados que lleguen a nuestro correo electrónico (CV, pagos, etc.) ¡Ésta es la forma más habitual de instalar los virus!
  • Mantener los equipos actualizados
  • Realizar copias de seguridad de los ficheros
  • Si tengo Windows XP o 2003: Bloquear el puerto RDP y deshabilitar SMBV1
  • Crear el archivo local que busca NotPetya para parar el cifrado. Más información.

[/su_list]

[rs_space lg_device=”25″ md_device=”10″ sm_device=”10″ xs_device=””]

He sido afectado ¿cómo protejo a mis compañeros?

[rs_space lg_device=”15″ md_device=”10″ sm_device=”10″ xs_device=””]

Si mi ordenador ha sido afectado, evitaré la expansión en mi red local bloqueando la ejecución del archivo C:\\Windows\perfec.dat

Además, si he visto aparecer en mi ordenador un mensaje de Check Disk, debo apagarlo inmediatamente y no volver a arrancarlo.

[rs_space lg_device=”25″ md_device=”10″ sm_device=”10″ xs_device=””]

Cuidado con tus programas

[rs_space lg_device=”15″ md_device=”10″ sm_device=”10″ xs_device=””]

NotPetya, al igual que el resto de programas malware, podría acabar fácilmente con la información adyacente a tus archivos. Los .pdf, .doc, etc., muy utilizados en la documentación de cualquier empresa, podrían resultar corrompidos y perder toda la información que guardemos en nuestro ordenador, ya sea personal, o proveniente de un software de gestión. Esto, básicamente significa, que es fácil perder todos los datos relacionados con nuestros proveedores y lo que es peor, con nuestros clientes.

[rs_space lg_device=”25″ md_device=”10″ sm_device=”10″ xs_device=””]

Inseguridades futuras

[rs_space lg_device=”15″ md_device=”10″ sm_device=”10″ xs_device=””]

Si bien los ataques malware continuarán “in crescendo”, las grandes corporaciones proveedores de software se están poniendo manos a la obra para contrarrestar sus efectos. Por ejemplo, en el caso de Windows Microsoft (principal atacado del malware que nos ocupa); nos encontramos con que, en búsqueda de protección para sus usuarios, ha comprado Hexadile, y está trabajando duro tanto para acabar con esta nueva amenaza, como para adelantarse a las futuras.

[rs_space lg_device=”25″ md_device=”10″ sm_device=”10″ xs_device=””]

Conclusión

[rs_space lg_device=”15″ md_device=”10″ sm_device=”10″ xs_device=””]

NotPetya es un poderoso malware que ya ha afectado a diversos países, pues es capaz de expandirse muy rápidamente, pero contra el que ya empiezan a surgir soluciones. Su modus operandi, similar a WannaCry, se diferencia de éste en que ha aprendido de sus errores, los ha superado, y se ha vuelto más fuerte y complicado de matar.

Aun siendo muy complicado de erradicar, tal y como acabamos de comentar,  en tan sólo pocos días ya han surgido diferentes opciones para protegerse del mismo, y se pueden tomar medidas para no resultar afectado.

Si bien parece que NotPetya no durará mucho, forma parte de la última generación de virus, un tipo de malware extorsionador, que se propaga fácilmente, y que ha venido para quedarse. Así que, aunque se luche contra cada caso puntual, como es hoy el ransomware #GoldenEye o #NotPetya, desde Efficientic os aconsejamos estar al día con las últimas versiones software de vuestros programas, para tener parcheados y actualizados tus equipos en todo momento.

[rs_space lg_device=”25″ md_device=”10″ sm_device=”10″ xs_device=””]

0 Comentarios

Contesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

*

©2018 Wellaggio Agencia web

Los nombres, marcas comerciales, logotipos y símbolos son marcas comerciales propiedad de sus respectivas compañías.

Aviso legal. El uso de este sitio web constituye la aceptación de la Política de Privacidad.

Inicia Sesión con tu Usuario y Contraseña

¿Olvidó sus datos?