Guía y recomendaciones para el ransomware “Petya”

Este ransomware en los medios e investigadores de seguridad describen a este ransomware como “ransomware Petya” y empezó a distribuirse ampliamente en los medios de comunicación el martes 27 de junio de 2017.

Propagación del malware

  • Internamente dentro de la network, el malware se propaga a través de más de un método. Propagase a través de credenciales en el sistema y tratar de utilizar Psexec o WMIC para distribuirse desde el sistema local donde reside.
  • Si infecta un sistema con credenciales administrativas, puede utilizar esas credenciales y se extienden a otros sistemas de acceso.
  • Y suponiendo que el sistema no está protegido por antivirus, es la otra manera de distribución.

Un buen gerenciamiento y seguridad de las credenciales sería, en este caso, la defensa a largo plazo.

Como prevenirse

El software antivirus de Microsoft detecta y protege contra este ransomware. Nuestro análisis inicial detectó que el ransomware usa varias técnicas para distribuirse, incluso algunas técnicas que se solucionaron en la actualización de seguridad (MS17-010) proporcionada anteriormente para todas las plataformas, desde Windows XP a Windows 10.

Windows Defender, System Center Endpoint Protection y Forefront Endpoint Protection detectan esta familia de amenazas como Ransom:Win32/Petya. Asegúrese de contar con la versión de definiciones igual o posterior a la siguiente:

  • Versión de definiciones de amenazas 1.247.197.0
  • Fecha de creación de la versión: 12:04:25 h: Martes, 27 de junio de 2017 (hora del Pacífico)
  • Última actualización: 12:04:25 h: Martes, 27 de junio de 2017 (hora del Pacífico)

Además, la herramienta gratuita Microsoft Safety Scanner http://www.microsoft.com/security/scanner/ está diseñada para detectar esta amenaza, además de muchas otras. Si usa una solución de un proveedor antivirus que no sea Microsoft, debería consultar con esa empresa.

Asistencia de los blogs de Microsoft

  • Blog de MMPC – Centro de protección contra malware de Microsoft

    Proporcionan los análisis más convincentes y detallados disponibles sobre cómo funciona el ransomware Petya. Y también asistencia para los administradores de red y profesionales de seguridad sobre cómo mitigar contra métodos específicos del ataque

    Nuevo ransomware, viejas técnicas: Petya agrega capacidades de gusano


Recomendaciones

  • Si por algún motivo no puede aplicar la actualización, una posible solución alternativa para reducir la superficie de ataque es deshabilitar SMBv1 según los pasos que se documentan en el artículo 2696547 de la Microsoft Knowledge Base.
  • Considere implementar técnicas, como la segmentación de red y cuentas de menor privilegios que limitan aún más el impacto de estos tipos de ataques de malware.
  • Los que usan Windows 10 deberían aprovechar de capacidades, como Device Guard, para bloquear los dispositivos y permitir solo las aplicaciones de confianza, evitando así la ejecución del malware.
  • Considere sacar provecho de Windows Defender Advanced Threat Protection, que detecta automáticamente los comportamientos que este nuevo ransomware usa.
  • Por último, recomendamos encarecidamente que revise la información proporcionada en estos blogs para conocer los pasos específicos que puede realizar para mitigar contra el ransomware Petya.

Recursos adicionales

Procuramos proporcionarle información precisa y seguimos investigando y nuestros equipos de soporte técnico se están movilizando y participando en esfuerzos mundiales para ayudar a los clientes afectados.

Microsoft CSS Support