Alerta por ransomware Petya

Descripción

Se ha detectado un incremento en los equipos infectados por el ransomware Petya, particularmente en países europeos, siendo Ucrania y Rusia los más afectados. La característica principal de este malware es que cifra el archivo MTF (Master File Table) dejando inutilizable el sistema de archivos para después sobrescribir el MBR (Master Boot Record) con las instrucciones necesarias para cifrar los archivos del equipo.

El ransomware fuerza un reinicio para ejecutar el código de arranque personalizado y comenzar con el proceso de cifrado.

Los atacantes exigen $300 USD en bitcoins para descifrar los archivos del equipo infectado. Sin embargo, la cuenta de correo utilizada para validar los pagos de la víctima ha sido deshabilitada por lo que la comunicación con los atacantes ya no es posible, dejando los archivos cifrados prácticamente irrecuperables.

Este código malicioso se propaga a través de redes privadas utilizando el exploit EternalBlue y Double Pulsar, mismos que son usados por WannaCry, con algunas modificaciones para evitar detección. Si los equipos en la red interna no utilizan SMBv1 o están actualizados, el malware intenta recuperar credenciales de cuentas con privilegios administrativos, desde la memoria para propagarse a otros equipos usando los componentes de Windows WMI o PSEXEC.

Impacto

Debido al uso de exploits para la vulnerabilidad MS17-010 y de mecanismos adicionales para la propagación a través de la red, UNAM-CERT considera un impacto alto.

Sistemas afectados

Microsoft Windows Vista SP2
Windows Server 2008 SP2 and R2 SP1
Windows XP
Windows 7
Windows 8.1
Windows RT 8.1
Windows Server 2012 and R2
Windows 10
Windows Server 2016

Solución

Para evitar la propagación por la red mediante el exploit EternalBlue, actualizar a la brevedad. La vulnerabilidad de Windows fue parchada por Microsoft en el mes de marzo de 2017.

Adicionalmente, se recomienda deshabilitar PsExec en los equipos que no lo requieran, así como la creación de un archivo con permisos de solo lectura C:\Windows\perfc , para la creación de este archivo se requieren privilegios de administración. El código malicioso busca ese archivo en el sistema; si existe, omite las instrucciones para identificar los archivos a cifrar y termina la ejecución.

Finalmente, si un equipo llega a ser infectado se forzará un reinicio y se mostrará una pantalla similar a la siguiente:

Es preciso desconectar el cable de poder inmediatamente. En este punto aún no se cifran los archivos por lo que es posible recuperarlos con un Live CD.

Recomendaciones

- Actualizar a la brevedad para evitar la infección.
- Aislar la comunicación a los puertos 137 y 138 UDP y puertos 139 y 445 TCP en las redes privadas.
- Desconectar de la red los equipos infectados.
- Deshabilitar PsExec en los equipos que no lo requieran, al restringir los privilegios de administración local a los usuarios del sistema.
- No realizar los pagos exigidos por el atacante.
- Realizar respaldo de la información.

Referencias

• US-CERT
• Microsoft
• Parche para Windows 10
• Deconstructing Petya: how it spreads and how to fight back
• New Ransomware Variant "Nyetya" Compromises Systems Worldwide
• PsExec v2.2