Jul 07

Alerta de Seguridad número 1 por ransomware NotPetya.

 

A continuación les brindo a todos los usuarios una alerta con respecto al virus NotPetya.

 

 

 

 

 

 

 

 

La Habana, 28 de junio de 2017

“Año 59 de la Revolución”

 

 

Alerta de Seguridad número 1 por ransomware NotPetya.

 

 

Esta Alerta de Seguridad número 1 por ransomware NotPetya, también conocido como Trojan.Crypolocker.AJ debe enviarse, por quien corresponda, a todas las entidades que se le subordinan en todo el país. Así como, dar conocimiento de la recepción de la misma a la cuenta notpetya@osri.gob.cu y domingo.sanchez@osri.gob.cu.

 

El ransomware NotPetya explota las vulnerabilidades publicadas por Microsoft el día 14 de marzo del año 2017, descrita en el boletín MS17-010 (ver https://support.microsoft.com/es-ar/help/4013071/ms17-007-cumulative-security-update-for-microsoft-edge-march-14-2017) y conocida como EternalBlue que se usó también en WannaCry, además de otra llamada EternalRomance que hace uso del puerto TCP 445 o de herramientas como Psexec. Esta última es una utilidad de Windows que permite ejecutar comandos en las máquinas de la misma red que tienen abiertos el puerto 445 o 139. Después se propaga a través de la red local de forma similar a como lo hacía WannaCry.

 

Una característica de NotPetya es que, hasta la fecha de elaboración de esta Alerta, no trata de ganar privilegios de administrador, y aprovecha la estructura “plana” de muchas redes empresariales en las que un administrador en un extremo de la red puede lograr acceso total en el resto de máquinas de la red.

 

Según los análisis de este ransomware, entre 10 y 60 minutos después de la infección el ordenador afectado nos fuerza a reiniciarlo, y al hacerlo aparece una pantalla que imita la del chequeo de disco (CHKDSK) que aunque parece que está haciendo eso en realidad está cifrando diversos archivos de nuestro equipo. Con posterioridad aparece la siguiente nota.

Una de las primeras medidas, si nos vemos afectados, es precisamente apagar el ordenador INMEDIATAMENTE si vemos esa pantalla de chequeo de disco. Eso nos permitirá recuperar los ficheros que no hayan sido cifrados si iniciamos el ordenador con un CD o un USB de recuperación, como por ejemplo un Live USB con Ubuntu que dé acceso al sistema de ficheros Windows para rescatar esos archivos a un dispositivo de almacenamiento externo.

 

Hasta el momento de elaboración de esta Alerta, se ha encontrado una forma de prevenir la infección con el ransomware NotPetya, básicamente una vacuna para evitar que se ejecute. Esto es posible debido a que NotPeyta busca un archivo local dentro del ordenador y si ese archivo existe en el disco, entonces el ransomware detendrá su rutina de cifrado. Es decir, que si creas ese archivo a mano, puedes vacunar tu ordenador.

 

Cómo aplicar la vacuna

El usuario debe crear un archivo llamado perfc sin extensión, guardarlo en la carpeta C:\Windows y marcarlo como “solo lectura”.

 

Lo primero que tiene que hacer es abrir el explorador de Windows y buscar el menú para Cambiar las opciones de carpeta y búsqueda. Una vez que se muestre la ventana Opciones de carpeta elige la pestaña Ver y bajo Configuración avanzada desmarca la casilla “Ocultar las extensiones de archivo conocido”

Después de que haga click en Aplicar y Aceptar podrá ver las extensiones de los archivos para poder crear uno sin extensión. Navegue hasta la carpeta C:\Windows y ahí buscque la aplicación notepad.exe.

Seleccione notepad.exe y copia y pega el archivo ahí mismo, presionando CTRL + C y luego CTRL + V. Se le pedirá que de permisos para continuar con la copia y luego aparecerá en la carpeta un archivo llamado “notepad – copia.exe”.

Seleccione notepad – copia.exe haciendo click izquierdo y presione F2 en el teclado para cambiar el nombre del archivo. Borre todo, incluyendo la extensión .exe y escriba perfc. Presione enter y luego cuando le pida confirmar cambiar el nombre de la extensión.

Ahora seleccione el archivo y haga click derecho sobre él y elija Propiedades.

En la ventana de propiedades marque la casilla “Solo lectura” y luego presione Aplicar y Aceptar.

Esta es una forma sencilla de prevenir el ataque en sistemas que por alguna razón no pueden ser actualizados con los más recientes parches de seguridad. Recordemos que las vulnerabilidades de las que se aprovecha este ransomware ya fueron parcheadas por Microsoft.

 

RECOMENDACIONES GENERALES

  1. Instale un buen y confiable Antivirus, actualizados de manera permanente.
  2. Utilice un Sistema Operativo seguro.
  3. Evite instalar programas no confiables o inseguros.
  4. Ejecute las actualizaciones del Sistema de forma segura.
  5. No abra ni ejecute archivos adjuntos por correo, chat, etc. procedentes de direcciones desconocidas o poco confiables.
  6. No arranque desde un disco externo o USB, con la excepción del procedimiento descrito en esta Alerta.
  7. Ponga contraseñas seguras a su ordenador.
  8. No visite webs de hackeo, adultos, casinos online o de dudosa procedencia.
  9. Instalar un programa cortafuegos (Firewall).
  10. No permita utilizar su PC a otras personas.

 

En espera de su atención,

Equipo de Respuesta a Incidentes Computacionales de Cuba

OSRI

 

Deja un comentario

Your email address will not be published.