ImagenTI | NEWS
15936
portfolio_page-template-default,single,single-portfolio_page,postid-15936,ajax_fade,page_not_loaded,,side_area_uncovered_from_content,qode-theme-ver-7.4,wpb-js-composer js-comp-ver-4.12,vc_responsive

NEWS

News

Te ofrecemos la información más relevantes, mantenerte informado sobre los últimos acontecimientos en ciberseguridad.

Estimado cliente,  

Hoy en día está ocurriendo un ataque de Ransomware de alcance masivo con mecanismos de auto-propagación similares a los observados durante el ataque de WannaCry.  Según las primeras informaciones, una vez que este Ransomware esta en los dispositivos, genera un reinicio de sistema, el cual ocupa para encriptar los archivos.

Esta epidemia se notifico públicamente en el 27 de junio de 2017, la cual afectó a múltiples instituciones en varios países, especialmente Ucrania, España, Dinamarca y Rusia.

El ataque utiliza una variante de Ransomware denominada “PETYA” – detectada por

 

No tenemos ningún caso conocido de infección hasta ahora, pero constantemente estamos analizando muestras que nos estan llegando  y estamos actualizando nuestras página:

 

 

Epidemia

Esta variante se vio por primera vez en un brote que comenzó el 27 de junio de 2017 y afectó a una serie de organizaciones comerciales. Para obtener más información sobre el brote, consulte:

 

 

 

Exploit

El análisis de las muestras de Petya del último incidente indica que utiliza el exploit de EternalBlue, que primero fue utilizado en la epidemia WannaCry ocurrido en mayo de 2017. Sin embargo hay notables diferencias en la implementación del exploit, incluyendo la omisión de como DoublePulsar backdoor shellcode.
El ransomware encripta el Master File Tree (MFT) para las particiones NTFS y reemplaza el MBR del equipo con bootloader personalizado; Durante este proceso, muestra un mensaje que se parece a una operación CHKDSK para hacer pensar al usuarios que se esta realizando un proceso normal.

 

Una vez completada la encriptación, el bootloader muestra la demanda de rescate:

 

Resumen

Esta epidemia se notifico públicamente en el 27 de junio de 2017, la cual afectó a múltiples instituciones en varios países, especialmente Ucrania, España, Dinamarca y Rusia.

Recomendaciones y Eliminación Acción automática

  • Para los clientes de F-Secure, deben asegurarse de utilizar las últimas versiones de Business Suite el Workstation Security y en Protection Business Suite el Client Security .

 

  • F-Secure detecta las variantes conocidas de este ransomware con múltiples firmas de detección, disponibles en las últimas actualizaciones de la base de datos.

Actualizar todos las firmas de sus productos a la última versión disponible.

    • Trojan.Ransom.GoldenEye.B – publicado en la base de datos 2017-06-27_10 Aquarius publicada a las 15.18h UTC del 27 de junio de 2017
    • Trojan: W32 / Petya.F – publicado en la base de datos Hydra de 2017-06-27_01 publicada a las 15.38hrs UTC el 27 de junio de 2017
    • Trojan: W32 / Petya.G – publicado en la base de datos Hydra de 2017-06-27_01 publicada a las 1533hrs UTC el 27 de junio de 2017

 

  • Después de actualizar los patrones, realizar una exploración manual programada en sus dispositivos.

 

  • Ejecutar F-Secure Software Updater en la consola de administración para garantizar que los sistemas operativos y las aplicaciones utilizados en su organización estén siempre actualizados.

 

  • Una vez detectado,  F-Secure desinfectará automáticamente el archivo sospechoso eliminándolo o renombrándolo.

By Luis Díaz