web analytics

Todo lo que debes saber sobre el nuevo ataque de ransomware Mischa y Petya y como vacunar tu equipo

por Isaac Ramírez 0

El mundo ha sido víctima de un nuevo ataque de ransomware, lo cual vuelve a dejar en evidencia que sigue habiendo sistemas desactualizados, falta de soluciones de seguridad y de planes necesarios para evitar una infección. La realidad es que estos ataques continúan creciendo y evolucionando, sobre todo después de que el grupo Shadow Brokers filtró las herramientas de la NSA; como anticipamos, los cibercriminales están empezando a explorarlas para ver cómo aprovecharlas con fines maliciosos.

La reciente ofensiva por parte de los cibercriminales, que involucra un ransomware detectado por ESET como Win32/Diskcoder.C, es otra prueba de ello.

De los daños que ha generado esta amenaza han surgido una gran cantidad de dudas por parte de muchos usuarios, por lo que hemos decidido responderlas y contarte todo sobre este nuevo ataque.

¿Cuáles son las características de este ransomware?

Podemos destacar tres aspectos que lo diferencian:

  • Cifrado: no solo cifra los archivos con una extensión determinada, sino que además intenta cifrar, generalmente con éxito, el MBR (Master Boot Record), que es el registro principal de arranque.
  • Propagación: tiene la propiedad de un gusano, o sea, puede propagarse a través de diferentes técnicas por la red logrando infectar nuevos equipos.
  • Exploits: hace uso de ellos para explotar vulnerabilidades en equipos que no han sido actualizados o no se les han instalado los parches correspondientes. Esto es algo de lo que se estuvo hablando mucho desde la aparición de WannaCryptor.
¿Es igual de poderoso que WannaCryptor?

Ambos tienen el mismo impacto: impiden el acceso a la información almacenada en sl sistema. Sin embargo, este nuevo ataque no solo cifra la información que se encuentra en los equipos, sino que, luego de que se reinicia el sistema, deja inutilizable al sistema operativo, por lo que las víctimas se ven obligadas a realizar una reinstalación.

¿Se propaga de la misma forma que WannaCryptor?

Sí y no. Ambos utilizan el exploit de la NSA llamado EternalBlue. Pero Win32/Diskcoder.C implementa otras técnicas de propagación abusando de herramientas legítimas de Microsoft Windows, como lo son PsExec, que forma parte de la suite de herramientas de Sysinternals, y WMIC (Windows Management Instrumentation Command-line), fuente para administrar los datos y la funcionalidad en equipos locales y remotos que ejecutan los sistemas operativos Windows.

¿Qué relación tiene con Mischa y Petya?

La principal razón por la que se los nombra juntos es que estos tres códigos maliciosos dejan inutilizable al sistema operativo cifrando el MBR, como también los datos que se encuentren en el sistema operativo. Alejándonos de esa cuestión, no tienen mucho más en común, ya que implementan técnicas y procesos diferentes.

Así puedes vacunar tus equipos

De nueva cuenta, Europa ha sido blanco de un supuesto ransomware, Petya, que se extendió a 65 países, el segundo de este tipo en lo que va del año, demostrando nuevamente cuán enserio se toman la protección en las empresas.

Algo más increíble es que es posible vacunar las computadoras contra Petya sin utilizar alguna solución antimalware. El investigador de seguridad en jefe en la firma Cybereason, Amit Serper, descubrió como evitar que Petya logre sus intenciones.

vacuna-petya-serper

Para ello sólo necesitas saber hacer clic derecho (o izquierdo) con el mouse en la carpeta C:\Windows\, donde se debe crear un archivo con el nombre perfc sin extensión.

Según el investigador, Petya busca su propio archivo en la carpetaC:\Windows\ y si lo encuentra detiene la tarea de cifrar el disco duro de la computadora o sobreescribir los primeros 25 bloques del mismo, dependiendo si se trata realmente de un ransomware o un wiper.

Serper llegó a esta conclusión tras verificarlo con dos fuentes diferentes, logrando así crear una vacuna que evitará futuras infecciones.

Informacion obtenida de fayerwayer y welivesecurity

Deje un comentario

Su dirección de email no será publicada

Puede utilizar código HTML : <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>