Petya es una variante de ransomware que apareció fugazmente en el 2016, hoy varias organizaciones se han visto afectadas por este ransomware el cuál se ha potenciado utilizando la vulnerabilidad sobre el procolo de recursos compartidos (SAMBA), es decir el mismo modo de operación que el ransomware del pasado 12 de mayo conocido como WannaCry.

A diferencia de WannaCry, Petya cifra el registro principal de arranque (MBR: Master Boot Record) de los computadores  o servidores  y solicita el pago de USD 300 en bitcoins.

Petya utiliza 3 mecanismos para la propagación, la vulnerabilidad conocida como EternalBlue, la utilidad de sysinternals psexec y el robo de credenciales con funciones similares a las utilizadas por Mimikatz.

Una vez se infecta el sistema Petya ejecuta las siguientes acciones:

  • Escribe un mensaje en la partición de disco
  • Borra los logs de eventos de windows
  • Reinicia el sistema
  • Cifra los archivos
  • Utiliza PSEXEC para distribuir la amenaza a otros equipos

Las recomendaciones para prevenir esta amenaza son las mismas que indicamos hace un par de semanas para WannaCry y que aplican para cualquier ransomware (Parches, Backups, etc..) en especial la instalación del parche MS17-010

Si usted o su empresa ha sido victima de Petya le recomendamos no realizar la transferencia en Bitcoins ya que según varios reportes, a ninguna de las personas que hicieron el pago les descifraron sus sistemas.

Otras recomendaciones son:

  • Aislar el sistema comprometido de la red para evitar que propague la amenaza
  • Cuando el sistema envíe la señal de reinico interrumpa el inicio (boot) del sistema de forma inmediata, apague completamente el equipo, es posible ingresar con un live CD y extraer los datos antes de que sean cifrados.

Amit Serper @0xAmit informa que existe la manera de evitar la ejecución del código de petya al crear un archivo sin contenido llamado perfc.dat en la ruta c:\windows\

Extracto del código de petya.

Este truco solo evitará la infección mas no la propagación.

 

 

 

 

No Comment

You can post first response comment.

Leave A Comment

Please enter your name. Please enter an valid email address. Please enter message.

You may also like