Google

Petya ransomware, PetWrap , NotPetya

Written on:June 28, 2017
Comments
Add One

Petya, Petwrap NotPetya

Es un ataque a gran escala muy similar a Wannacry, este malware utiliza las mismas vulnerabilidades para poder propagarse,  EternalBlue el exploit utilizado por la NSA para vulnerar equipos con SMBv1.

Pero este no es un ransomware como cualquier otro, no cifra  uno por uno los archivos, una vez instalado cifra el MBR (Master Boot Record)  así como el Master File Table, aparentemente los archivos dentro del disco duro no están cifrados pero debido a la destrucción del MFT no se tiene acceso a estos, para así instalar un bootloader y  mostrar un mensaje  de secuestro.

Una vez corriendo este ransomware los vectores en que se propaga este ransomware son:

  • EternalBlue: Busca host windows con la vulnerabilidad SMBv1 para poder propagarse dentro de la red.
  • PSEXEC: Implementacion de %PROGRAMDATA%\dllhost.dat
  • WMI Remoto: “process call create “C:\Windows\System32\rundll32.exe” “C:\Windows\perfc.dat\”

Posteriormente crea una tarea para un reinicio programado en una hora.

Los sistemas operativos que se encuentran afectados son :

  • Windows XP
  • Windows XP Eembedded
  • Windows Vista
  • Windows Server 2003
  • Windows Server 2008 SP2 and R2 SP1
  • Windows 7
  • Windows 8.1
  • Windows RT 8.1
  • Windows Server 2012 and R2
  • Windows 10
  • Windows Server 2016

Las posibles ips que se esta utilizando son :

185.165.29.78
84.200.16.242
111.90.139.247
95.141.115.108

Recomendaciones para poder minimizar el riesgo:

  • Actualizar endpoints.
  • Cerrar comunicación con las ips detectadas.
  • Bloquear puertos a conexiones externas SMB (139 y 445)
  • Deshabilitar SMB1.0/CIFS File Sharing Support en endpoints y servers que no lo requieran       (Apartado Programs and Features en PC, Remove Roles and Features en Server
  • Implantar archivo C:\Windows\perfc.dat en blanco en hosts
  • Contar con soluciones de respaldo

Leave a Comment

Your email address will not be published. Required fields are marked *

%d bloggers like this: